image

Geavanceerde cyberspionnen gebruiken Office-lek uit 2012

vrijdag 3 juni 2016, 10:48 door Redactie, 2 reacties

Regelmatig waarschuwen overheden en bedrijven voor geavanceerde cyberspionage, maar veel van de aanvallen om toegang tot netwerken te krijgen en informatie te stelen vinden plaats via een beveiligingslek in Microsoft Office dat al in 2012 werd gepatcht. Dat stelt beveiligingsbedrijf FireEye.

Cyberspionnen worden regelmatig als "advanced persistent threat" (APT) aangeduid. Om toegang tot organisaties te krijgen worden echter niet altijd geavanceerde methodes gebruikt. FireEye stelt dat veel aanvallers een beveiligingslek gebruiken dat als CVE-2012-0158 wordt aangeduid. Dit is de code voor een kwetsbaarheid in Microsoft Office waar op 10 april 2012 een update voor verscheen. Via het beveiligingslek kan een aanvaller de computer volledig overnemen als het doelwit een kwaadaardig Word-document opent.

In het geval de beveiligingsupdate is geïnstalleerd zal de aanval mislukken. Ondanks dat de patch al meer dan 4 jaar beschikbaar is wordt de kwetsbaarheid nog altijd bij gerichte aanvallen op overheden, bedrijven en andere organisaties gebruikt. FireEye waarschuwt nu voor een nieuwe campagne van cyberspionnen gericht tegen Indiase overheidsfunctionarissen. De aanvallers versturen kwaadaardige Word-documenten die van het betreffende Office-lek gebruikmaken om een backdoor te installeren. Via de backdoor hebben de aanvallers volledige controle over het systeem.

Het is niet de enige spionagecampagne waarbij de aanvallers zich op CVE-2012-0158 richten. Eind maart van dit jaar ontdekte beveiligingsbedrijf AlienVault een aanval van een andere APT-groep die ook het Office-lek gebruikte en eerder dit jaar rapporteerden Palo Alto Networks, Check Point, Arbor Networks en Cylance dergelijke Office-aanvallen. Dit toont aan dat er nog altijd organisaties zijn die al meer dan 4 jaar lang geen Office-updates hebben geïnstalleerd.

Reacties (2)
03-06-2016, 11:27 door Anoniem
Uit https://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/Baccas-VB2013.pdf?la=en.pdf

When the author asked ‘Why were machines still vulnerable
to CVE-2010-3333 [2]?’ three reasons were postulated:
• Ignorance
• Laziness/busyness
• Non-licensed software.
To those we can add:
• Cost.
Cost: A consequence of Moore’s Law is that a less-than-$500
computer becomes obsolete within 18 months, and if the
computer runs without problems for 12 months it may be
considered cheaper to buy a new computer than to install
patches, anti-malware software etc. [28]. While intrinsically
this feels wrong, for a small organization without a
security-focused IT department, the total cost of maintaining
software could be considered too high.
I
03-06-2016, 12:46 door Anoniem
het laatste argument doet me denken aan https://what-if.xkcd.com/22/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.