image

Aanval via Word-documenten die automatisch inloggegevens stelen

zondag 9 juli 2017, 09:37 door Redactie, 20 reacties
Laatst bijgewerkt: 10-07-2017, 13:40

Energiebedrijven en andere onderdelen van de vitale infrastructuur wereldwijd zijn het doelwit van een aanval waarbij Word-documenten worden gebruikt die automatisch inloggegevens van de gebruiker proberen te stelen door verbinding met een SMB-server te maken om daar een template te downloaden.

Dat laat Cisco in een analyse weten. Volgens de netwerkgigant vinden de aanvallen sinds mei plaats en zijn met name energiebedrijven en vitale infrastructuur in Europa en de Verenigde Staten doelwit. De aanvallers versturen Word-documenten die zich voordoen als milieurapportages of sollicitaties. In tegenstelling tot andere aanvallen met Word-documenten, waarbij bijvoorbeeld macro's, exploits of andere kwaadaardige embedded code wordt gebruikt, bevatten deze documenten geen kwaadaardige code.

Zodra het slachtoffer het document opent wordt er geprobeerd om verbinding met een kwaadaardige SMB-server te maken om daar een template te downloaden. Door de gebruiker nietsvermoedend verbinding met de SMB-server te laten maken kunnen inloggegevens van zijn eigen systeem worden onderschept. Soortgelijke aanvallen zijn in verleden vaker gedemonstreerd. Volgens Cisco kan het templatebestand daarnaast worden gebruikt om andere kwaadaardige code te downloaden. De kwaadaardige SMB-server bood het templatebestand echter niet meer aan, waardoor de aard van de aanval onbekend blijft.

Wel stellen de onderzoekers dat er via de Word-documenten succesvol inloggegevens van aangevallen bedrijven zijn gestolen. Ze concluderen ook dat de aanval aantoont dat organisaties uitgaand verkeer over tcp-poort 445 naar publieke hosts nog steeds niet blokkeren. Cisco adviseert dan ook om netwerkverkeer streng te controleren en uitgaande protocollen zoals SMB niet toe te staan, tenzij nadrukkelijk vereist. De aanval op de energiebedrijven kwam al twee keer eerder in het nieuws, maar technische details ontbraken toen. Wel lieten ook deze berichten weten dat de aanvallers succesvol waren.

Image

Reacties (20)
09-07-2017, 10:46 door karma4
Het hebben open staan van niet nodige poorten het draaien van niet nodige services processen is iets wat niet nodig is.
Sinds jaar en dag is er het advies om dat niet te doen (bs7799)
09-07-2017, 11:31 door Anoniem
Het is een open deur, op een firewall moet alles eerst dicht en daarna poorten open zetten die nodig zijn. Waar mogelijk met beperking op IP's en richting.

Deze aanval toont aan dat beveiliging bij deze bedrijven niet of niet goed geimplementeerd is.

Er is kennelijk ineens belangstelling voor nepsollicitatie aanvallen, een goede zaak. Dit voorbeeld laat goed zien wat voor foutjes de aanvallers maken in de tekst/opmaak van de email en ze doen ook niet veel moeite een rationele tekst te tonen in het Word document. Helaas zie je slecht taalgebruik en rare inhoud ook bij echte sollicitaties uit Azie, dus je kunt niet concluderen dat een bericht een aanval is alleen op die gronden.

Wat de researchers niet laten zien is hoe het bericht eruit ziet (als raw RFC2822 file, niet een MUA rendering). Daar kun je waarschijnlijk wel het een en ander uit afleiden.

Het is voor targets verstandig alle inkomende email op te slaan zodat kan worden nagegaan of er een aanval is geweest. Die kunnen dan retrospectief worden gescand. Sommige aanvallen zijn zo slim dat ze IP's uit hetzelfde land gebruiken, maar vaak kun geo-ip filters gebruiken om verdachte berichten op te sporen.
09-07-2017, 12:26 door [Account Verwijderd]
[Verwijderd]
09-07-2017, 14:57 door Anoniem
Met dit soort virussen vraag ik me altijd af of het uitmaakt met welk programma je het Word document opent.
Als je met Libre- of Open Office een word document opent ben je dan net zo kwetsbaar als met MS Office?
09-07-2017, 15:53 door Anoniem
Erug weinig kans van slagen.. Zou ook niet best zijn de standaard SMB pporten naar buiten horen gesloten te zijn.
09-07-2017, 16:34 door [Account Verwijderd]
[Verwijderd]
09-07-2017, 18:33 door Anoniem
Door Anoniem: Met dit soort virussen vraag ik me altijd af of het uitmaakt met welk programma je het Word document opent.
Als je met Libre- of Open Office een word document opent ben je dan net zo kwetsbaar als met MS Office?

Als de code compatible is en de code in het document zit, dan is het antwoord ja. Met een paar mitsen en maren.

Obscuriteit is de belangrijkste "bescherming" van Libre- of Open Office. Het is in het algemeen intrinsiek niet veel veiliger dan Microsoft Office. Niettemin kan het effectief zijn omdat aanvallers zich veelal richten op Microsoft Office.
09-07-2017, 21:27 door [Account Verwijderd]
Door Anoniem:
Het is voor targets verstandig alle inkomende email op te slaan zodat kan worden nagegaan of er een aanval is geweest. Die kunnen dan retrospectief worden gescand. Sommige aanvallen zijn zo slim dat ze IP's uit hetzelfde land gebruiken, maar vaak kun geo-ip filters gebruiken om verdachte berichten op te sporen.

Dit is zeker niet "zomaar" toegestaan. Dit omdat werk email ook onder privacy regels valt. Daar mag je dus niet zomaar kopietjes van trekken.
10-07-2017, 10:08 door Anoniem
Door Anoniem: Erug weinig kans van slagen.. Zou ook niet best zijn de standaard SMB pporten naar buiten horen gesloten te zijn.

Hangt er vanaf... Veel bedrijven zitten achter een standaard NAT router. En daarop staan dit soort porten gewoon open.
10-07-2017, 10:21 door Anoniem
Ik begrijp niet waarom Belangrijke Installaties a.o. Kerncentrales, Ziekenhuizen, Energiecentrales etc. een internet verbinding nodig hebben.. Zet al die dingen op een closed circuit netwerk.. Waarom moet een Kerncentrale Internet hebben (zodat je van thuis dat ding kan bedienen.).. Gewoon geen internet toegang in dat soort gebouwen.. Maar vooral ook geen Email.. Zo onnodig..
10-07-2017, 11:02 door Anoniem
Door Anoniem: Ik begrijp niet waarom Belangrijke Installaties a.o. Kerncentrales, Ziekenhuizen, Energiecentrales etc. een internet verbinding nodig hebben.. Zet al die dingen op een closed circuit netwerk.. Waarom moet een Kerncentrale Internet hebben (zodat je van thuis dat ding kan bedienen.).. Gewoon geen internet toegang in dat soort gebouwen.. Maar vooral ook geen Email.. Zo onnodig..
Omdat in vele gevallen snelle communicatie essentieel is. Ziekenhuizen bijvoorbeeld, hebben vaak meerdere locaties. Postduiven gaat dan niet werken.
10-07-2017, 11:19 door Anoniem
Door Anoniem:
Door Anoniem: Ik begrijp niet waarom Belangrijke Installaties a.o. Kerncentrales, Ziekenhuizen, Energiecentrales etc. een internet verbinding nodig hebben.. Zet al die dingen op een closed circuit netwerk.. Waarom moet een Kerncentrale Internet hebben (zodat je van thuis dat ding kan bedienen.).. Gewoon geen internet toegang in dat soort gebouwen.. Maar vooral ook geen Email.. Zo onnodig..
Omdat in vele gevallen snelle communicatie essentieel is. Ziekenhuizen bijvoorbeeld, hebben vaak meerdere locaties. Postduiven gaat dan niet werken.
Nog steeds geen enkele reden om dan het hele (interne) netwerk te verbinden aan Internet. Bij bepaalde rubricering is segregatie (meer dan compartimentering) van je netwerk de beste maatregel. Dus communicatie vanaf een eigen server aan de 'buitenkant' van je netwerk.
10-07-2017, 11:21 door Anoniem
Door Anoniem: Ik begrijp niet waarom Belangrijke Installaties a.o. Kerncentrales, Ziekenhuizen, Energiecentrales etc. een internet verbinding nodig hebben.. Zet al die dingen op een closed circuit netwerk.. Waarom moet een Kerncentrale Internet hebben (zodat je van thuis dat ding kan bedienen.).. Gewoon geen internet toegang in dat soort gebouwen.. Maar vooral ook geen Email.. Zo onnodig..

Duidelijk opmerkingen van iemand die totaal geen idee heeft hoe de wereld momenteel werkt. Email is juist een heel goed medium om snel informatie over te brengen zowel Intern als Extern. Internet heeft veel informatie bronnen welke ook gebruikt worden binnen deze instellingen.
Je moet dingen wel goed afschermen, maar dat is weer heel iets anders.
10-07-2017, 13:04 door Anoniem
Door Anoniem:
Door Anoniem: Erug weinig kans van slagen.. Zou ook niet best zijn de standaard SMB pporten naar buiten horen gesloten te zijn.

Hangt er vanaf... Veel bedrijven zitten achter een standaard NAT router. En daarop staan dit soort porten gewoon open.

Ok laten we het anders formuleren; het zou niet open moeten zijn.

Overigens is de exploit recent in het nieuws geweest (Ik geloof zelfs dat er een HAK5 sessie aan gewijdt is) Er is een (phython) server nodig die logt welke hash waardes iemand gebruikt om te connecteren. Via "pass the hash" kan je dan weer verder komen.
10-07-2017, 13:22 door cjkos
'Automatisch'?

De VBA dient toch eerst geactiveerd te worden door op de knop 'enable editing' of 'bewerken toestaan' te klikken?

Is dat niet genoeg om een soll brief meteen af te sluiten?
10-07-2017, 13:42 door Anoniem
Door cjkos: 'Automatisch'?

De VBA dient toch eerst geactiveerd te worden door op de knop 'enable editing' of 'bewerken toestaan' te klikken?

Is dat niet genoeg om een soll brief meteen af te sluiten?

Nee, je hoeft niets te activeren. Openen is genoeg voor de SMB connection (tenzij dat op het netwerk/firewall dichtstaat).
10-07-2017, 14:21 door karma4
Door Anoniem:
Door Anoniem: Ik begrijp niet waarom Belangrijke Installaties a.o. Kerncentrales, Ziekenhuizen, Energiecentrales etc. een internet verbinding nodig hebben.. Zet al die dingen op een closed circuit netwerk.. Waarom moet een Kerncentrale Internet hebben (zodat je van thuis dat ding kan bedienen.).. Gewoon geen internet toegang in dat soort gebouwen.. Maar vooral ook geen Email.. Zo onnodig..

Duidelijk opmerkingen van iemand die totaal geen idee heeft hoe de wereld momenteel werkt. Email is juist een heel goed medium om snel informatie over te brengen zowel Intern als Extern. Internet heeft veel informatie bronnen welke ook gebruikt worden binnen deze instellingen.
Je moet dingen wel goed afschermen, maar dat is weer heel iets anders.
Email is goed voor menselijke interactie. Niet relevant bij embedded systemen. Embedded systemen kunnen prima uit dd voeten zonder externe connecties.
Het is dd manager die gelooft dat de operator voor die systemen het ook wel thuis af kan doen en Internet alles mogelijk maakt. Dat alles mogelijk maken ook een andere kant heeft daar worst gemakshalve aan voorbij gegaan. Het werkt toch....
10-07-2017, 16:28 door Anoniem
Door Anoniem:
Door cjkos: 'Automatisch'?

De VBA dient toch eerst geactiveerd te worden door op de knop 'enable editing' of 'bewerken toestaan' te klikken?

Is dat niet genoeg om een soll brief meteen af te sluiten?

Nee, je hoeft niets te activeren. Openen is genoeg voor de SMB connection (tenzij dat op het netwerk/firewall dichtstaat).

Hele probleem met MS Office (en de andere generieke pakketten LibreOffice e.d.) is dat het toesnijden op een individuele situatie door middel van scripttalen (VBA bijvoorbeeld) veiligheidsrisico's met zich mee brengt waar niet goed over nagedacht wordt in het traject van het toesnijden.

De aloude metafoor van Unix werkte zo gek nog niet.
10-07-2017, 16:51 door Anoniem
Dit is zeker niet "zomaar" toegestaan. Dit omdat werk email ook onder privacy regels valt. Daar mag je dus niet zomaar kopietjes van trekken.

Je hebt informatieplicht als werkgever jegens de werknemer. Je mag doen wat redelijkerwijs noodzakelijk is voor de veiligheid van de organisatie. Het gaat hier niet over alle email, maar over binnenkomende Internet mail. Het onderzoek is niet gericht op personen, maar op security en het is grotendeels geautomatiseerd.

Er is overigens ook iets voor te zeggen om interne en uitgaande email op te slaan. Interne email is voor security research niet zo interessant, maar uitgaande mail wel omdat een lek kan zijn. Interne mail systemen herschrijven emails vaak, waardoor forensische security details verloren gaan.

Sommige bedrijven slaan alle email op voor andere redenen, zoals bedrijfscontinuiteit en aansprakelijkheid. Als dat gebeurt moeten werknemers ook over worden geinformeerd en je het is geen vrijbrief om zonder geldige reden emails te gaan lezen. Daarvoor kunnen het beste procedures worden gemaakt, bijvoorbeeld bij uittreden en overdracht en in gevallen van serieus vermoeden van fraude e.d.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.