Office-gebruikers aangevallen via zerodaylekken in EPS-filter
Gebruikers van Microsoft Office zijn de afgelopen maanden via zerodaylekken in het Encapsulated PostScript (EPS) filter van Office aangevallen, wat aanleiding voor Microsoft was om het filter uit te schakelen. In totaal werden er drie zerodaylekken tegen Office-gebruikers ingezet.
EPS is een bestandsextensie voor een grafisch bestandsformaat dat in vector-gebaseerde bestanden in Adobe Illustrator wordt gebruikt. Ook Office ondersteunt het via een EPS-filter. Eind maart werd er een aanval ontdekt waarbij de aanvallers een onbekende kwetsbaarheid in het EPS-filter in combinatie met een al gepatcht beveiligingslek in de Windows Graphics Device Interface (GDI) gebruikten om systemen met malware te infecteren. In april werd EPS als beveiligingsmaatregel door Microsoft in Office uitgeschakeld. Beveiligingsbedrijf FireEye ontdekte in deze maand echter een tweede onbekende EPS-kwetsbaarheid in Office die de aanvallers in combinatie met een zerodaylek in Windows gebruikten. Microsoft heeft het EPS- en Windows-lek deze maand gepatcht.
Volgens FireEye zitten meerdere groepen achter de aanvallen. De aanval met het eerste EPS-lek werd uitgevoerd door een groep genaamd Turla, die bekendstaat als een zeer geavanceerde spionagegroep die ook de Snake-malware ontwikkelde. Ook een tweede groep aanvallers met financiële motieven maakte van deze kwetsbaarheid gebruik. Het tweede zerodaylek in EPS werd door de spionagegroep APT28 aangevallen. Deze groep staat ook bekend als Pawn Storm en Fancy Bear.
Anti-virusbedrijf ESET meldt dat bij deze tweede aanval een document genaamd "Trump’s_Attack_on_Syria_English.docx" werd gebruikt. Dit document liet een echt artikel van de California Courier als afleidingsmanoeuvre zien. In de achtergrond werden de twee exploits voor het EPS- en Windows-lek uitgevoerd. FireEye stelt dat Turla en APT28 Russische spionagegroepen zijn die de EPS-lekken tegen Europese diplomaten en "militaire entiteiten" hebben ingezet. De onbekende financiële groep had het voorzien op regionale en globale banken met kantoren in het Midden-Oosten.
Volgens Microsoft vonden de eerste aanvallen eind maart plaats. Gebruikers zouden op dat moment al via de updates van maart beschermd zijn. De aanval op de tweede kwetsbaarheid werd halverwege april waargenomen. Ook in dit geval waren gebruikers volgens de softwaregigant al beschermd doordat de april-update het EPS-filter in Office uitschakelde. Wel laten deze aanvallen zien hoe belangrijk het is om updates zo snel als mogelijk te installeren, aldus het Microsoft Security Response Center.
De man die met naam en toenaam wordt genoemd in deze mail als (vervalste) afzender bestaat echt en was militair attaché in Denemarken.
In Nederland zouden we die naam onleesbaar maken. Het is een slachtoffer in dit verhaal.
Tenminste: dat geldt voor de Office 2003 versie die ik in gebruik heb (en die niet meer ondersteund wordt). Maar omdat ik maar niet kan wennen aan dat lint heb ik na 4 jaar tevergeefs proberen afscheid genomen van Office 2007 en ben weer terug bij versie 2003.
Ik kan me echter niet anders voorstellen dan dat dit bij andere versies hetzelfde moet zijn (dus uitschakelen van EPS filter in de setup). Bij mij stond het al uit Heb eigenlijk nooit behoefte gehad aan zo'n filter: als ik toch een keer zo'n file krijg en wil verwerken in een document dat open of converteer ik het eerst via een andere route, bijv Irfanview.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
