Cyberspionnen vallen Flash-lekken aan via Word-document
Een groep cyberspionnen die de afgelopen jaren een groot aantal organisaties aanviel maakt tegenwoordig ook gebruik van Word-documenten om gebruikers via beveiligingslekken in Flash Player te infecteren. De aanval begint met een Word-document dat als e-mailbijlage wordt verstuurd.
Het Word-document bevat een kwaadaardig Flash-bestand dat de aanvallers op twee manieren kunnen gebruiken. In het eerste scenario controleert dit Flash-bestand de aanwezige versie van Adobe Flash Player en probeert vervolgens één van drie kwetsbaarheden in Flash Player aan te vallen. Het gaat om een lek uit 2015 en twee lekken van dit jaar. In het tweede scenario wordt er informatie over het systeem naar een remote server gestuurd. Wat er vervolgens gebeurt kon niet worden vastgesteld, maar onderzoekers denken dat de server een exploit voor Flash Player terugstuurt.
Om slachtoffers niets te laten vermoeden krijgen die een "lokdocument" te zien. Uit details van de malware lijkt het erop dat zowel Windows- als Mac OS X-computers het doelwit van de aanvallen zijn. Dezelfde spionagegroep kwam onlangs ook in het nieuws vanwege de ontdekking van Mac-malware. Voor zover bekend zijn een Oekraïens defensiebedrijf en een ministerie van Buitenlandse Zaken in dezelfde regio via de documenten aangevallen, zo meldt beveiligingsbedrijf Palo Alto Networks.
Het gebruik van Flash-bestanden in Word-documenten om malware te verspreiden komt al jaren voor. Al in 2009 werd deze tactiek toegepast. Drie jaar later in 2012 waarschuwde Microsoft Office-gebruikers nog om maatregelen tegen Flash-aanvallen in documenten te nemen. Ook dit en vorig jaar werden Flash-lekken via Word-documenten aangevallen.
De groep cyberspionnen achter de nu ontdekte Word-documenten wordt Pawn Storm genoemd, maar staat ook bekend als 'Fancy Bear', 'Sofacy', 'Sednit', 'APT28', Threat Group-4127 en 'Strontium'. Eerder werden de onderzoeksraad van MH17, verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, het CDU, Sanoma, de presidentscampagne van Hillary Clinton, het Wereld Anti-Doping Agentschap (WADA) en MH17-onderzoekers van het onderzoekscollectief Bellingcat door de groep aangevallen.
Een paar maanden geleden schreef security.nl dat de OLE-koppeling gebruikt wordt om kwaadaardige scripts te embedden in Office-bestanden:
https://www.security.nl/posting/474492/Microsoft+ziet+nieuw+soort+aanval+via+Office-documenten
In dit artikel staat dat systeembeheerders het inschakelen van OLE-objecten in Office-documenten via een registerwijziging kunnen blokkeren.
Klopt het dat je na die registerwijziging dus ook beschermd bent tegen de bovengenoemde Flash-malware? (gesteld dat je Adobe Flash hebt draaien, want anders raakt deze aanval je sowieso niet).
Als macro's geblokkeerd zijn (eventueel met whitelisting voor legitieme macro's) en het inschakelen van OLE-objecten ook, ben je dan veilig met een up to date Office-installatie? Of zijn er nog andere bekende kwetsbaarheden in Office-bestanden?
Met het belangrijke verschil dat de besproken exploits voor Windows bestaand zijn en er wat deze malware betreft voor OS X alleen nog een regeltje is gevonden die wijst op de mogelijkheid OS X systemen te detecteren maar verder nog niet is uitgewerkt.
Wat ik me afvraag is of actionscript onder OS X zomaar (al dan niet in een embedded rtf) geactiveerd kan worden zonder ook maar een waarschuwing dat er een executable aan het werk wil.
OS X geeft daar namelijk op zich al heel lang waarschuwingen bij.
Of is dat een kwestie van specifieke Ms service en functionaliteit die onder LibreOffice nooit zou werken?
Een paar maanden geleden schreef security.nl dat de OLE-koppeling gebruikt wordt om kwaadaardige scripts te embedden in Office-bestanden:
https://www.security.nl/posting/474492/Microsoft+ziet+nieuw+soort+aanval+via+Office-documenten
In dit artikel staat dat systeembeheerders het inschakelen van OLE-objecten in Office-documenten via een registerwijziging kunnen blokkeren.
Klopt het dat je na die registerwijziging dus ook beschermd bent tegen de bovengenoemde Flash-malware? (gesteld dat je Adobe Flash hebt draaien, want anders raakt deze aanval je sowieso niet).
Dat klopt. OLE staat voor Object Linking and Embedding en maakt het mogelijk om embedded scripts uit te voeren.
Als macro's geblokkeerd zijn (eventueel met whitelisting voor legitieme macro's) en het inschakelen van OLE-objecten ook, ben je dan veilig met een up to date Office-installatie? Of zijn er nog andere bekende kwetsbaarheden in Office-bestanden?
Nee, het gaat hier om kwetsbaarheden binnen Flash player. OLE maakt het mogelijk om een Flash exploit uit te voeren.
Het document met OLE kan en mag gewoon een script uitvoeren, dit is opzich geen kwetsbaarheid. Het script welke gebruik maakt van een beveiligingslek binnen Flash wel.
Mijn advies:
- verwijder Flash player van de computer;
- gebruik Flash "click to play" binnen Chrome.
Je kunt binnen Chrome nog steeds Flash content gebruiken (na click to play) maar Flash scripts buiten Chrome om (e-mail, downloads, drive-by, OLE, etc) vormen geen risico meer.
Een paar maanden geleden schreef security.nl dat de OLE-koppeling gebruikt wordt om kwaadaardige scripts te embedden in Office-bestanden:
https://www.security.nl/posting/474492/Microsoft+ziet+nieuw+soort+aanval+via+Office-documenten
In dit artikel staat dat systeembeheerders het inschakelen van OLE-objecten in Office-documenten via een registerwijziging kunnen blokkeren.
Klopt het dat je na die registerwijziging dus ook beschermd bent tegen de bovengenoemde Flash-malware? (gesteld dat je Adobe Flash hebt draaien, want anders raakt deze aanval je sowieso niet).
Dat klopt. OLE staat voor Object Linking and Embedding en maakt het mogelijk om embedded scripts uit te voeren.
Als macro's geblokkeerd zijn (eventueel met whitelisting voor legitieme macro's) en het inschakelen van OLE-objecten ook, ben je dan veilig met een up to date Office-installatie? Of zijn er nog andere bekende kwetsbaarheden in Office-bestanden?
Nee, het gaat hier om kwetsbaarheden binnen Flash player. OLE maakt het mogelijk om een Flash exploit uit te voeren.
Het document met OLE kan en mag gewoon een script uitvoeren, dit is opzich geen kwetsbaarheid. Het script welke gebruik maakt van een beveiligingslek binnen Flash wel.
....
Je hebt gelijk, ik bedoelde iets anders; namelijk of er nog andere manieren zijn (naast macro's en OLE-objecten) waarmee gebruikers met een Office-bestand verleid kunnen worden tot het uitvoeren van malware. Dat zijn inderdaad geen kwetsbaarheden, maar -wat mij betreft- gevaarlijke features. Zie ook dit bericht:
https://www.security.nl/posting/489777/Digitale+bankrover+verspreidt+zich+via+script+in+Word-document
Is dit nu via een OLE-koppeling of toch weer anders?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
