image

Zerodaylek in Office gebruikt voor verspreiding bankmalware

dinsdag 11 april 2017, 09:33 door Redactie, 15 reacties

Een zerodaylek in Microsoft Office waar dit weekend voor werd gewaarschuwd wordt actief gebruikt voor de verspreiding van een Trojaans paard waarmee aanvallers toegang tot gegevens voor internetbankieren krijgen. Dat meldt beveiligingsbedrijf Proofpoint in een blogposting.

Het Amerikaanse beveiligingsbedrijf McAfee kwam dit weekend met de waarschuwing voor een kwetsbaarheid in alle versies van Microsoft Office die aanvallers in combinatie met een zerodaylek in Windows gebruiken om doelen aan te vallen. Verdere details werden echter niet gegeven. Volgens Proofpoint versturen de aanvallers rtf-documenten die wanneer geopend de Dridex Trojan op computers installeren. Dit is een banking Trojan waarmee gegevens voor internetbankieren worden onderschept. Vervolgens kunnen aanvallers hiermee frauderen.

McAfee adviseerde als oplossing om Protected View in Office in te schakelen, aangezien de exploit dan niet zou werken. Deze optie staat echter standaard ingeschakeld. Proofpoint laat zich niet uit of de nu waargenomen aanvallen met of zonder Protected View werken. Wel vermoedt het beveiligingsbedrijf dat de kwetsbaarheid vanavond tijdens de maandelijkse Microsoft-patchcyclus van april zal worden gedicht. Gebruikers die toch een oplossing zoeken kunnen ervoor kiezen om rtf-documenten in Microsoft Office te blokkeren, aldus het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.

Image

Reacties (15)
11-04-2017, 09:50 door Anoniem
Voor de koppensnellers:

Het is een Microsoft Office lek (alle versies) in combinatie met Windows (alle versies?)
11-04-2017, 11:25 door karma4
Voor de niet koppensnellers. Het advies is om iets aan te zetten wat al aan staat. Grootste lek blijft pebcak.
11-04-2017, 12:06 door Anoniem
Door Anoniem: Voor de koppensnellers:

Het is een Microsoft Office lek (alle versies) in combinatie met Windows (alle versies?)

Bestaan er ook andere versies dan?. Ben ze namelijk nog nooit tegen gekomen.
11-04-2017, 13:32 door Anoniem
Door karma4:


Grootste lek blijft pebcak.



Best knap autistisch om daar na ruim 20 jaar windows ontwikkeling nog steeds geen rekening mee te houden.
Product goed op je klanten afstemmen, bij sommigen wil het er maar niet in.
Dat is vragen om problemen en die zijn er dan ook genoeg.

De klant is nooit schuldig aan een product dat gewoon niet of slecht aansluit bij haar wensen en capaciteiten.
De pebcak zit in dat geval vooral bij de ontwikkelaar/aanbieder van het product.
Simpelweg de klant genegeerd en niet begrepen, dat is pas dom.
11-04-2017, 13:38 door [Account Verwijderd]
[Verwijderd]
11-04-2017, 13:47 door Erik van Straten
Als Heise [1] en ik de post van Proofpoint [2] goed begrijpen, is er helemaal geen sprake van macro's in de kwaadaardige bijlagen. Als gevolg van de 0day start, slechts door het openen van zo'n bijlage (in MS Office), er kwaadaardige code die aanvullende malware downloadt en uitvoert. Tegelijkertijd verschijnt er nog een dialoogbox in beeld, maar dan is het leed al geleden.

De spam "wave" [*] lijkt ca. 2 uur geleden Duitsland bereikt te hebben, dus veel Nederlandsers zullen nu ook wel aan de beurt zijn.

[*] Spammers hebben er belang bij dat ontvangers zo snel mogelijk na verzending hun malware openen, omdat Antivirus dan nog kansloos is. De post-lunch-dip is een "mooi" moment om mensen dingen te laten doen waar ze op andere momenten wellicht beter over zouden nadenken.

Ik ben benieuwd of Microsoft vandaag een patch uitbengt voor de beschreven 0day.

[1] https://www.heise.de/security/meldung/Dridex-Botnetz-verteilt-millionenfach-Angriffs-Mails-auf-ungepatchte-Office-Luecke-3681553.html
[2] https://www.proofpoint.com/us/threat-insight/post/dridex-campaigns-millions-recipients-unpatched-microsoft-zero-day
11-04-2017, 15:42 door Anoniem
Door Anoniem:
Door Anoniem: Voor de koppensnellers:

Het is een Microsoft Office lek (alle versies) in combinatie met Windows (alle versies?)

Bestaan er ook andere versies dan?. Ben ze namelijk nog nooit tegen gekomen.

Ja die bestaan.
11-04-2017, 15:49 door Anoniem
Stomme vraag. In Outlook is bij ons (met een W7 pc) het voorbeeldvenster ingeschakeld. Als ik nu een dergelijke mail ontvang, word ik dan al besmet door het voorbeeldvenster? Of moet je echt daadwerkelijk op de bijlage klikken? Dat doe ik nooit, zo blond ben ik nou ook weer niet.
11-04-2017, 16:08 door Anoniem
Zou het helpen om in het Vertrouwenscentrum bij Instellingen voor bestandsblokkering rtf-bestanden te blokeren?
11-04-2017, 16:13 door Anoniem
Volgens de BBC heeft MS gezegd vandaag te gaan patchen: http://www.bbc.co.uk/news/technology-39563965
11-04-2017, 16:55 door Anoniem
PopTray binnen SandBoxie draaien
11-04-2017, 20:07 door karma4 - Bijgewerkt: 11-04-2017, 20:10
Door Anoniem: ....
Simpelweg de klant genegeerd en niet begrepen, dat is pas dom.
Limux als een voorbeeld, OS/2 en vele andere ook. Het is de ICT autistische wijze om daarin te volharden. Al 30 jaar lang.
Daarom zet je de ICT bij voorkeur buiten de deur en -AAS benadering door een externe leverancier lost alles op /sarcasm

Even wat meer serieus, de functies waarop nu door techneuten gefoeterd wordt zijn er vaak gekomen als wens vanuit de business lijn. Geen ict kennis gewoon knoppendrukkers als werkers in de lijnprocessen. Productie draaien.
Klok er bij of de beschreven handelingen binnen de gestelde ontworpen tijdsvensters blijven.
11-04-2017, 20:56 door Anoniem
+ pdf varianten!

De campagne heeft kennelijk ook een pdf variant meegenomen met dubbele javascript rotzooi om aanvullende code te downloaden.
Slim, dan denk je dat de scan files van Office Word niet te vertrouwen zijn en open je wel de pdf's (in Adobe Reader) ?
Niet doen, worden door de helft of minder van de scanner op VT herkend.

Ook niet doen, openen op een Mac
(maar het kan wel en dan gebeurt er ... niets ;)

Blijf vooral lekker dooremmeren over Limux (helpt alleen niets op dit onderwerp).
Zeer domme vorm van afleiden, Windows wordt er immers ook niet veiliger van, integendeel (!!!) het leidt immers de aandacht af van hetgeen waar nou juist aandacht voor zou moeten zijn extra goed opletten als je Windows (Office en Adobe Reader) gebruikt!

Kennelijk is het belang om te trollen en af te leiden van Windows vandaan hoger dan om de inhoudelijke security focus scherp te houden waar dat nodig is (ziekelijk, zwaar).
11-04-2017, 20:57 door [Account Verwijderd] - Bijgewerkt: 11-04-2017, 20:58
[Verwijderd]
12-04-2017, 06:10 door karma4
Door Rinjani - OFFLINE:
Limux is pertitent géén voorbeeld van het negeren en verkeerd begrijpen van de klant (eerder het tegenovergestelde). Het is wel een voorbeeld van het amateuristisch uitvoeren van een automatiseringsproject (wat waarschijnlijk met eender welk besturingssysteem als onderliggende basis zou zijn
Het zijn de Debian insiders ibm met suse en Ubuntu mensen die er allemaal aan gewerkt hebben met de standaard werkwijze om uit te besteden. Ze hebben zich gericht op laag hangend fruiten daar waar de burger de diensten moet krijgen laten liggen.

Inderdaad vermoeiend om dat niet te willen zien omdat tegen een geloof in gaat. Dan verketteren je de niet gelovigen toch.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.