Geavanceerde cyberspionnen gebruiken Office-lek uit 2012
Regelmatig waarschuwen overheden en bedrijven voor geavanceerde cyberspionage, maar veel van de aanvallen om toegang tot netwerken te krijgen en informatie te stelen vinden plaats via een beveiligingslek in Microsoft Office dat al in 2012 werd gepatcht. Dat stelt beveiligingsbedrijf FireEye.
Cyberspionnen worden regelmatig als "advanced persistent threat" (APT) aangeduid. Om toegang tot organisaties te krijgen worden echter niet altijd geavanceerde methodes gebruikt. FireEye stelt dat veel aanvallers een beveiligingslek gebruiken dat als CVE-2012-0158 wordt aangeduid. Dit is de code voor een kwetsbaarheid in Microsoft Office waar op 10 april 2012 een update voor verscheen. Via het beveiligingslek kan een aanvaller de computer volledig overnemen als het doelwit een kwaadaardig Word-document opent.
In het geval de beveiligingsupdate is geïnstalleerd zal de aanval mislukken. Ondanks dat de patch al meer dan 4 jaar beschikbaar is wordt de kwetsbaarheid nog altijd bij gerichte aanvallen op overheden, bedrijven en andere organisaties gebruikt. FireEye waarschuwt nu voor een nieuwe campagne van cyberspionnen gericht tegen Indiase overheidsfunctionarissen. De aanvallers versturen kwaadaardige Word-documenten die van het betreffende Office-lek gebruikmaken om een backdoor te installeren. Via de backdoor hebben de aanvallers volledige controle over het systeem.
Het is niet de enige spionagecampagne waarbij de aanvallers zich op CVE-2012-0158 richten. Eind maart van dit jaar ontdekte beveiligingsbedrijf AlienVault een aanval van een andere APT-groep die ook het Office-lek gebruikte en eerder dit jaar rapporteerden Palo Alto Networks, Check Point, Arbor Networks en Cylance dergelijke Office-aanvallen. Dit toont aan dat er nog altijd organisaties zijn die al meer dan 4 jaar lang geen Office-updates hebben geïnstalleerd.
When the author asked ‘Why were machines still vulnerable
to CVE-2010-3333 [2]?’ three reasons were postulated:
• Ignorance
• Laziness/busyness
• Non-licensed software.
To those we can add:
• Cost.
Cost: A consequence of Moore’s Law is that a less-than-$500
computer becomes obsolete within 18 months, and if the
computer runs without problems for 12 months it may be
considered cheaper to buy a new computer than to install
patches, anti-malware software etc. [28]. While intrinsically
this feels wrong, for a small organization without a
security-focused IT department, the total cost of maintaining
software could be considered too high.
I
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
