Microsoft ziet nieuw soort aanval via Office-documenten
Microsoft waarschuwt voor een nieuw soort aanval waarbij internetcriminelen Office-bestanden gebruiken om internetgebruikers met malware te infecteren, zonder dat hier macro's aan te pas komen. De afgelopen maanden was er een toename van Office-documenten met macro's zichtbaar.
In dit geval proberen internetcriminelen de gebruiker macro's in het document in te laten schakelen, waarna de macro malware op de computer plaatst. Microsoft zegt dat steeds meer beheerders en organisaties maatregelen tegen deze aanvalsvector nemen. Dat kan verklaren waarom er nu een nieuwe tactiek wordt toegepast. In de documenten die Microsoft heeft gezien maken de aanvallers gebruik van 'object linking and embedding' (OLE) binnen Office.
Een OLE-object kan bijvoorbeeld een script zijn dat aan de tekst wordt toegevoegd. Zodra gebruikers op het object klikken wordt dan gevraagd of ze het script willen uitvoeren. Het script kan vervolgens malware op de computer installeren. Microsoft stelt dat systeembeheerders maatregelen kunnen nemen om het inschakelen van OLE-objecten binnen documenten te voorkomen. Hiervoor moet een registersleutel in het Windows Register worden aangepast, wat de softwaregigant in dit artikel uitlegt.
Reacties (9)
15-06-2016, 12:54 door
spatieman
Microsoft stelt dat systeembeheerders maatregelen kunnen nemen om het inschakelen van OLE-objecten binnen documenten te voorkomen. Hiervoor moet een registersleutel in het Windows Register worden aangepast, wat de softwaregigant in dit artikel uitlegt.
Goh.
Had dit niet eigenlijk al standaard bij installatie gedaan kunnen worden ??
Goh.
Had dit niet eigenlijk al standaard bij installatie gedaan kunnen worden ??
Door spatieman: Microsoft stelt dat systeembeheerders maatregelen kunnen nemen om het inschakelen van OLE-objecten binnen documenten te voorkomen. Hiervoor moet een registersleutel in het Windows Register worden aangepast, wat de softwaregigant in dit artikel uitlegt.
Goh.
Had dit niet eigenlijk al standaard bij installatie gedaan kunnen worden ??
Goh.
Had dit niet eigenlijk al standaard bij installatie gedaan kunnen worden ??
Heeft u wel een idee van wat OLE objecten nou daadwerkelijk zijn dan?
Dan wist u dat data soms gemerged dient te worden, of dynamisch ingeladen dient te worden uit een andere applicatie of een ander document.
Daarom dus OLE Objecten:
https://support.office.com/en-us/article/Create-change-or-delete-an-OLE-object-F767F0F1-4170-4850-9B96-0B6C07EC6EA4
Je kan alles wel blijven uitschakelen en dichtgooien onder de vlag van "security" maar dat is een loos idee.
Uiteindelijk heb je dan geen functionaliteit meer over.
15-06-2016, 13:53 door
wallum
Door Illnl:
Heeft u wel een idee van wat OLE objecten nou daadwerkelijk zijn dan?
Dan wist u dat data soms gemerged dient te worden, of dynamisch ingeladen dient te worden uit een andere applicatie of een ander document.
Daarom dus OLE Objecten:
https://support.office.com/en-us/article/Create-change-or-delete-an-OLE-object-F767F0F1-4170-4850-9B96-0B6C07EC6EA4
Je kan alles wel blijven uitschakelen en dichtgooien onder de vlag van "security" maar dat is een loos idee.
Uiteindelijk heb je dan geen functionaliteit meer over.
Dit soort complexe functionaliteit wordt door hooguit een paar procent gebruikt. Het is gekkenwerk om de grote meerderheid van de gebruikers hiervoor bloot te stellen aan malware. Microsoft zou de functie met een update moeten uitschakelen, met duidelijke uitleg in de documentatie.Door spatieman: Microsoft stelt dat systeembeheerders maatregelen kunnen nemen om het inschakelen van OLE-objecten binnen documenten te voorkomen. Hiervoor moet een registersleutel in het Windows Register worden aangepast, wat de softwaregigant in dit artikel uitlegt.
Goh.
Had dit niet eigenlijk al standaard bij installatie gedaan kunnen worden ??
Goh.
Had dit niet eigenlijk al standaard bij installatie gedaan kunnen worden ??
Heeft u wel een idee van wat OLE objecten nou daadwerkelijk zijn dan?
Dan wist u dat data soms gemerged dient te worden, of dynamisch ingeladen dient te worden uit een andere applicatie of een ander document.
Daarom dus OLE Objecten:
https://support.office.com/en-us/article/Create-change-or-delete-an-OLE-object-F767F0F1-4170-4850-9B96-0B6C07EC6EA4
Je kan alles wel blijven uitschakelen en dichtgooien onder de vlag van "security" maar dat is een loos idee.
Uiteindelijk heb je dan geen functionaliteit meer over.
Hoeveel manieren zijn er eigenlijk nog meer om via het openen van een Word-bestand malware uit te voeren? Macro's, OLE-objecten en gister las ik dat je een bestand.pdf.exe in een word-bestand kunt embedden, het is voor de gemiddelde systeembeheerder niet meer bij te houden. Beter zou zijn als Microsoft alle mogelijkheden standaard dicht zet. Uitgangspunt moet zijn: een veilige configuratie voor de meerderheid van de gebruikers. Specialistische functies kunnen door een specialist worden geactiveerd.
15-06-2016, 15:21 door
karma4
Ook html links zijn gevaarlijk. Dat is niet veel anders dan ole object link embedding. Alle toegang tot Internet is gevaarlijk als we dat nu eens stoppen en alleen nog domme terminals gaan gebruiken... niet haalbaar de vaart der volkeren.
Door wallum:
Hoeveel manieren zijn er eigenlijk nog meer om via het openen van een Word-bestand malware uit te voeren? Macro's, OLE-objecten en gister las ik dat je een bestand.pdf.exe in een word-bestand kunt embedden, het is voor de gemiddelde systeembeheerder niet meer bij te houden. Beter zou zijn als Microsoft alle mogelijkheden standaard dicht zet. Uitgangspunt moet zijn: een veilige configuratie voor de meerderheid van de gebruikers. Specialistische functies kunnen door een specialist worden geactiveerd.
Door Illnl:
Heeft u wel een idee van wat OLE objecten nou daadwerkelijk zijn dan?
Dan wist u dat data soms gemerged dient te worden, of dynamisch ingeladen dient te worden uit een andere applicatie of een ander document.
Daarom dus OLE Objecten:
https://support.office.com/en-us/article/Create-change-or-delete-an-OLE-object-F767F0F1-4170-4850-9B96-0B6C07EC6EA4
Je kan alles wel blijven uitschakelen en dichtgooien onder de vlag van "security" maar dat is een loos idee.
Uiteindelijk heb je dan geen functionaliteit meer over.
Dit soort complexe functionaliteit wordt door hooguit een paar procent gebruikt. Het is gekkenwerk om de grote meerderheid van de gebruikers hiervoor bloot te stellen aan malware. Microsoft zou de functie met een update moeten uitschakelen, met duidelijke uitleg in de documentatie.Door spatieman: Microsoft stelt dat systeembeheerders maatregelen kunnen nemen om het inschakelen van OLE-objecten binnen documenten te voorkomen. Hiervoor moet een registersleutel in het Windows Register worden aangepast, wat de softwaregigant in dit artikel uitlegt.
Goh.
Had dit niet eigenlijk al standaard bij installatie gedaan kunnen worden ??
Goh.
Had dit niet eigenlijk al standaard bij installatie gedaan kunnen worden ??
Heeft u wel een idee van wat OLE objecten nou daadwerkelijk zijn dan?
Dan wist u dat data soms gemerged dient te worden, of dynamisch ingeladen dient te worden uit een andere applicatie of een ander document.
Daarom dus OLE Objecten:
https://support.office.com/en-us/article/Create-change-or-delete-an-OLE-object-F767F0F1-4170-4850-9B96-0B6C07EC6EA4
Je kan alles wel blijven uitschakelen en dichtgooien onder de vlag van "security" maar dat is een loos idee.
Uiteindelijk heb je dan geen functionaliteit meer over.
Hoeveel manieren zijn er eigenlijk nog meer om via het openen van een Word-bestand malware uit te voeren? Macro's, OLE-objecten en gister las ik dat je een bestand.pdf.exe in een word-bestand kunt embedden, het is voor de gemiddelde systeembeheerder niet meer bij te houden. Beter zou zijn als Microsoft alle mogelijkheden standaard dicht zet. Uitgangspunt moet zijn: een veilige configuratie voor de meerderheid van de gebruikers. Specialistische functies kunnen door een specialist worden geactiveerd.
Ik weet niet in wat voor soort omgevingen u werkt, maar ieder bedrijf met een marketing en sales afdeling gebruikt dit zowat...
Er is altijd wel een argument op te gooien waarom wel en waarom niet, maar jezelf blijven beperken is jezelf in een hoekje duwen en we weten allen hoe mensen dan reageren op een bepaald punt...
Dit is geen oplossing, maar het ontvluchten van het probleem.
Dit kan ook afgevangen worden met een security product, zonder je organisatie half te verkreupelen door constant functionaliteit uit te schakelen.
Ik vind Karma4 zijn voorbeeld wel een goede.
Dus waarom dan maar niet hyperlinks gelijk killen op de werkstations?
Ik bedoel maar, de gebruiker zou zomaar op een fout linkje kunnen klikken... daar heeft men een expert voor nodig, volgens uw voorbeeld ;)
Dit soort complexe functionaliteit wordt door hooguit een paar procent gebruikt
Elk bedrijf dat spreadsheets en documenten koppelt voor bv mailings gebruikt al OLE. Of Databases en documenten. Of databases en crystal reports, enz enz.
Of gewoon de .vbs en .vbe en .vba (etc) file-extensies mappen op notepad ipv een script-host via een policy; werkt in dit geval net zo goed; eindgebruikers zouden toch geen vbscripts hoeven kunnen uit te voeren ;)
Dus we gaan allemaal zinloze zaken toevoegen aan documenten, spreadsheets enz. en dan hebben we daar belachelijk complexe bedrijfs software op gebouwd, en nu gaat MS zeggen "Nou, misschien moet je het maar uitzetten"...
Nou, Microsoft, misschien had je 20 jaar geleden moeten luisteren naar security mensen toen die het een belachelijk idee vonden om zoveel 'functionaliteit' (kuch) toe te voegen aan iets wat 'alleen maar tekst' zou moeten bevatten.
Gisteren weer een mooi voorbeeld gezien van een droedel die een compleet change-ticket systeem gebouw heeft in Excel.. Leuk dat het kan, maar als je 3 verschillende Office versies hebt, en bij elke versie de halve wereld omver gegooid wordt, is het maar 1 ding, werkverschaffen voor jezelf, voor de helpdesk en uren aan frustratie bij de gebruikers.
Nou, Microsoft, misschien had je 20 jaar geleden moeten luisteren naar security mensen toen die het een belachelijk idee vonden om zoveel 'functionaliteit' (kuch) toe te voegen aan iets wat 'alleen maar tekst' zou moeten bevatten.
Gisteren weer een mooi voorbeeld gezien van een droedel die een compleet change-ticket systeem gebouw heeft in Excel.. Leuk dat het kan, maar als je 3 verschillende Office versies hebt, en bij elke versie de halve wereld omver gegooid wordt, is het maar 1 ding, werkverschaffen voor jezelf, voor de helpdesk en uren aan frustratie bij de gebruikers.
16-06-2016, 15:05 door
wallum
Die 'paar procent' zal inderdaad te laag zijn. Is gebaseerd op mijn ervaring met kleine (<80) non-profit-organisaties. Laat het 20% dan nog. Riskante functionaliteit die weinig wordt gebruikt kun je beter blokkeren en op op verzoek via whitelisting toestaan. Bij veelgebruikte functionaliteit werkt dat inderdaad niet.
Bij ons worden office-macro's zo weinig gebruikt dat we ze hebben geblokkeerd en op op verzoek whitelisten. Dat scheelt een behoorlijk risico. Antispam houdt veel maar niet alles tegen en de anti-virus loopt standaard een dag achter op de huidige malware-aanvallen. En gebruikers blijven altijd klikken in een deel van de gevallen.
Ik ken geen betaalbare securityproducten die dit soort risico's goed afvangen, zijn die er?
Bij ons worden office-macro's zo weinig gebruikt dat we ze hebben geblokkeerd en op op verzoek whitelisten. Dat scheelt een behoorlijk risico. Antispam houdt veel maar niet alles tegen en de anti-virus loopt standaard een dag achter op de huidige malware-aanvallen. En gebruikers blijven altijd klikken in een deel van de gevallen.
Ik ken geen betaalbare securityproducten die dit soort risico's goed afvangen, zijn die er?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
