image

Microsoft waarschuwt voor proxy-aanpassing via docx-bestand

dinsdag 30 augustus 2016, 10:33 door Redactie, 5 reacties

Microsoft waarschuwt Office-gebruikers voor een nieuwe aanval waarbij aanvallers de proxy-instellingen via een kwaadaardig docx-bestand proberen aan te passen. Door de proxy-instellingen te veranderen kunnen de aanvallers het verkeer van de gebruiker monitoren en manipuleren.

Zo is het bijvoorbeeld mogelijk om wachtwoorden of andere vertrouwelijke gegevens te onderscheppen. De aanval begint met een bevestigingsmail van een bestelling. Als bijlage is er een docx-bestand meegestuurd. Het document bevat een embedded OLE-object. Een OLE-object kan bijvoorbeeld een script zijn dat aan de tekst wordt toegevoegd. Zodra gebruikers op het object klikken wordt gevraagd of ze het script willen uitvoeren. Het script kan vervolgens malware op de computer installeren of andere acties uitvoeren.

In het geval van de nu waargenomen aanval worden via het script de proxy-instellingen in het Windows Register aangepast en een eigen certificaat geïnstalleerd. Dit certificaat laat de aanvallers ook via https versleuteld verkeer inspecteren. Verder wordt er voor Firefox een apart certificaat geïnstalleerd, aangezien Firefox niet de certificaatdatabase van Windows gebruikt, maar een eigen systeem. Om gebruikers te beschermen adviseert Microsoft om alleen berichten van vertrouwde afzenders en websites te openen. Daarnaast kan het Windows Register worden aangepast om te voorkomen dat OLE-objecten in documenten worden uitgevoerd.

Image

Reacties (5)
30-08-2016, 12:33 door Anoniem
Ik weet dat OLE al sinds 1990 bestaat, maar nog steeds snap ik niet waarom een tekstverwerkingsdocument, tekst met een structuur, opmaak, afbeeldingen en dergelijke, bij zoiets als proxy-instellingen kan, langs welke weg dan ook.

Met gemak als argument laat men dingen door elkaar lopen, laat men grenzen vervagen en vervallen, en dat heet dan integratie. Dit soort integratie in de fysieke wereld zou erop neerkomen dat je door een pond spruitjes plotseling doodgereden kan worden omdat dat pond spruitjes onverwacht ook vrachtwagen kan blijken te zijn. Want het is makkelijk als alles alles kan zijn via het ongelimiteerd inbedden van objecten in andere objecten.

Dat zou een levensgevaarlijke wereld opleveren, waarin je van geen enkel ding meer kan aannemen dat het is wat het lijkt. Met al die macro- en object-inbedmogelijkheden die men in het digitale domein enthousiast heeft geïntroduceerd is precies die situatie gecreëerd: een gevaarlijke wereld waarin alles iets anders kan zijn dan het lijkt. Het is geen wonder dat "digibeten" een probleem hebben om het te begrijpen en problemen voor te blijven, er is geen touw aan vast te knopen als niets is wat het lijkt, als een tekst je internetverkeer kan omleiden, als een advertentie je adresboek kan jatten, etcetera.

Ik weet niet hoe je besturingssystemen zo kan opzetten dat die duidelijkheid afgedwongen wordt. Een computer is tenslotte juist in de kern van zijn aard een ding dat de meest uiteenlopende dingen kan, en dus kan software gemaakt worden die de meest uiteenlopende dingen kan in de meest onverwachte combinaties. En zelfs als je de afbakening van functies goed zou kunnen afdwingen dan hebben we industrieën die juist grof geld verdienen door zo veel mogelijk functies te vermengen en dat als vernieuwing te verkopen (terwijl dát geen fundamentele innovaties zijn). Het aanstormende "internet of things" is daar een actueel voorbeeld van. En zo'n aanval op een tekstverwerkingsdocument ook, en het laat zien dat dit soort functievermenging na tientallen jaren ervaring ermee nog altijd slecht te beheersen is. Dat suggereert dat er iets fundamenteel mis is met de hele benadering om grenzen tussen functies te laten vervagen.
30-08-2016, 13:57 door Anoniem
Het plaatje lijkt te tonen dat het niet het document zelf is dat de proxy-instellingen wijzigt, maar een ingesloten uitvoerbaar bestand (specifiek een JSscript-bestand)...
30-08-2016, 14:09 door Anoniem
Het probleem is dat er bij een bedrijf als Microsoft ook vragen binnen komen als "ik hoef helemaal geen applicatie te
maken voor doel XXX als jullie het nou zo zouden maken dat ik in een Excel blad of Word document zelf naar eigen idee
knopjes kan inbouwen die scripts opstarten".
Daarmee kunnen ze dan heel veel kosten besparen en dan is Microsoft de gevierde peer want hun systemen zijn
geweldig flexibel en hebben geavanceerde mogelijkheden.
Dan kunnen we hier wel gaan zaniken dat het onveilig is, maar daar verkoop je niks meer of minder door.
30-08-2016, 14:14 door Anoniem
@Vandaag, 12:33 door Anoniem

Embedding is in de praktijk niet zo'n groot probleem. Er wordt weinig misbruik van gemaakt door criminelen. Vooral gebruikers hebben het een tijdlang gebruikt toen het toesturen van executables massaal verboden werd, vele jaren geleden. Het ging destijds om het toesturen van "potentially unwanted programs", grappig bedoelde executables die niet veel kwaad deden.

Het is zo rond 2003 ook nog kort gebruikt voor targeted attacks, maar dat was snel voorbij toen men kennelijk met andere methoden betere resultaten bereikte.
30-08-2016, 15:17 door Anoniem
Door Anoniem: Ik weet dat OLE al sinds 1990 bestaat, maar nog steeds snap ik niet waarom een tekstverwerkingsdocument, tekst met een structuur, opmaak, afbeeldingen en dergelijke, bij zoiets als proxy-instellingen kan, langs welke weg dan ook..

OLE is gewoon 'een' vorm van communicatie tussen applicaties. Elk OS heeft daar een of meer mechanismes voor, zoals DCE, CORBA, RPC op Linux. Mooi, want dat maakt dat functionaliteit over applicaties heen te gebruiken is.

Op basis van OLE/COM kan je in-line in een Word document Visio-diagrammen bewerken, etc. En OLE maakt het mogelijk dat je in Outlook emails kan schrijven met Word functionaliteit, etc.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.