Aanval via Word-documenten die automatisch inloggegevens stelen
Energiebedrijven en andere onderdelen van de vitale infrastructuur wereldwijd zijn het doelwit van een aanval waarbij Word-documenten worden gebruikt die automatisch inloggegevens van de gebruiker proberen te stelen door verbinding met een SMB-server te maken om daar een template te downloaden.
Dat laat Cisco in een analyse weten. Volgens de netwerkgigant vinden de aanvallen sinds mei plaats en zijn met name energiebedrijven en vitale infrastructuur in Europa en de Verenigde Staten doelwit. De aanvallers versturen Word-documenten die zich voordoen als milieurapportages of sollicitaties. In tegenstelling tot andere aanvallen met Word-documenten, waarbij bijvoorbeeld macro's, exploits of andere kwaadaardige embedded code wordt gebruikt, bevatten deze documenten geen kwaadaardige code.
Zodra het slachtoffer het document opent wordt er geprobeerd om verbinding met een kwaadaardige SMB-server te maken om daar een template te downloaden. Door de gebruiker nietsvermoedend verbinding met de SMB-server te laten maken kunnen inloggegevens van zijn eigen systeem worden onderschept. Soortgelijke aanvallen zijn in verleden vaker gedemonstreerd. Volgens Cisco kan het templatebestand daarnaast worden gebruikt om andere kwaadaardige code te downloaden. De kwaadaardige SMB-server bood het templatebestand echter niet meer aan, waardoor de aard van de aanval onbekend blijft.
Wel stellen de onderzoekers dat er via de Word-documenten succesvol inloggegevens van aangevallen bedrijven zijn gestolen. Ze concluderen ook dat de aanval aantoont dat organisaties uitgaand verkeer over tcp-poort 445 naar publieke hosts nog steeds niet blokkeren. Cisco adviseert dan ook om netwerkverkeer streng te controleren en uitgaande protocollen zoals SMB niet toe te staan, tenzij nadrukkelijk vereist. De aanval op de energiebedrijven kwam al twee keer eerder in het nieuws, maar technische details ontbraken toen. Wel lieten ook deze berichten weten dat de aanvallers succesvol waren.
Sinds jaar en dag is er het advies om dat niet te doen (bs7799)
Deze aanval toont aan dat beveiliging bij deze bedrijven niet of niet goed geimplementeerd is.
Er is kennelijk ineens belangstelling voor nepsollicitatie aanvallen, een goede zaak. Dit voorbeeld laat goed zien wat voor foutjes de aanvallers maken in de tekst/opmaak van de email en ze doen ook niet veel moeite een rationele tekst te tonen in het Word document. Helaas zie je slecht taalgebruik en rare inhoud ook bij echte sollicitaties uit Azie, dus je kunt niet concluderen dat een bericht een aanval is alleen op die gronden.
Wat de researchers niet laten zien is hoe het bericht eruit ziet (als raw RFC2822 file, niet een MUA rendering). Daar kun je waarschijnlijk wel het een en ander uit afleiden.
Het is voor targets verstandig alle inkomende email op te slaan zodat kan worden nagegaan of er een aanval is geweest. Die kunnen dan retrospectief worden gescand. Sommige aanvallen zijn zo slim dat ze IP's uit hetzelfde land gebruiken, maar vaak kun geo-ip filters gebruiken om verdachte berichten op te sporen.
Als je met Libre- of Open Office een word document opent ben je dan net zo kwetsbaar als met MS Office?
https://virustotal.com/en/file/5f6848d442fa5badd1f6d5f3b67267c6e236d0cfae8ab5ebfdb3e3f5da95899d/analysis/
https://virustotal.com/en/file/d4104ee49c695fc8373e630d3c67446621d52f272e598ee9598e0dd0c84db7ae/analysis/
https://virustotal.com/en/file/7c027fe5930077e24ff4af446bfed3431d29844d82777b6678830e5972effb6e/analysis/
Als je met Libre- of Open Office een word document opent ben je dan net zo kwetsbaar als met MS Office?
Als de code compatible is en de code in het document zit, dan is het antwoord ja. Met een paar mitsen en maren.
Obscuriteit is de belangrijkste "bescherming" van Libre- of Open Office. Het is in het algemeen intrinsiek niet veel veiliger dan Microsoft Office. Niettemin kan het effectief zijn omdat aanvallers zich veelal richten op Microsoft Office.
Het is voor targets verstandig alle inkomende email op te slaan zodat kan worden nagegaan of er een aanval is geweest. Die kunnen dan retrospectief worden gescand. Sommige aanvallen zijn zo slim dat ze IP's uit hetzelfde land gebruiken, maar vaak kun geo-ip filters gebruiken om verdachte berichten op te sporen.
Dit is zeker niet "zomaar" toegestaan. Dit omdat werk email ook onder privacy regels valt. Daar mag je dus niet zomaar kopietjes van trekken.
Hangt er vanaf... Veel bedrijven zitten achter een standaard NAT router. En daarop staan dit soort porten gewoon open.
Duidelijk opmerkingen van iemand die totaal geen idee heeft hoe de wereld momenteel werkt. Email is juist een heel goed medium om snel informatie over te brengen zowel Intern als Extern. Internet heeft veel informatie bronnen welke ook gebruikt worden binnen deze instellingen.
Je moet dingen wel goed afschermen, maar dat is weer heel iets anders.
Hangt er vanaf... Veel bedrijven zitten achter een standaard NAT router. En daarop staan dit soort porten gewoon open.
Ok laten we het anders formuleren; het zou niet open moeten zijn.
Overigens is de exploit recent in het nieuws geweest (Ik geloof zelfs dat er een HAK5 sessie aan gewijdt is) Er is een (phython) server nodig die logt welke hash waardes iemand gebruikt om te connecteren. Via "pass the hash" kan je dan weer verder komen.
De VBA dient toch eerst geactiveerd te worden door op de knop 'enable editing' of 'bewerken toestaan' te klikken?
Is dat niet genoeg om een soll brief meteen af te sluiten?
De VBA dient toch eerst geactiveerd te worden door op de knop 'enable editing' of 'bewerken toestaan' te klikken?
Is dat niet genoeg om een soll brief meteen af te sluiten?
Nee, je hoeft niets te activeren. Openen is genoeg voor de SMB connection (tenzij dat op het netwerk/firewall dichtstaat).
Duidelijk opmerkingen van iemand die totaal geen idee heeft hoe de wereld momenteel werkt. Email is juist een heel goed medium om snel informatie over te brengen zowel Intern als Extern. Internet heeft veel informatie bronnen welke ook gebruikt worden binnen deze instellingen.
Je moet dingen wel goed afschermen, maar dat is weer heel iets anders.
Het is dd manager die gelooft dat de operator voor die systemen het ook wel thuis af kan doen en Internet alles mogelijk maakt. Dat alles mogelijk maken ook een andere kant heeft daar worst gemakshalve aan voorbij gegaan. Het werkt toch....
De VBA dient toch eerst geactiveerd te worden door op de knop 'enable editing' of 'bewerken toestaan' te klikken?
Is dat niet genoeg om een soll brief meteen af te sluiten?
Nee, je hoeft niets te activeren. Openen is genoeg voor de SMB connection (tenzij dat op het netwerk/firewall dichtstaat).
Hele probleem met MS Office (en de andere generieke pakketten LibreOffice e.d.) is dat het toesnijden op een individuele situatie door middel van scripttalen (VBA bijvoorbeeld) veiligheidsrisico's met zich mee brengt waar niet goed over nagedacht wordt in het traject van het toesnijden.
De aloude metafoor van Unix werkte zo gek nog niet.
Je hebt informatieplicht als werkgever jegens de werknemer. Je mag doen wat redelijkerwijs noodzakelijk is voor de veiligheid van de organisatie. Het gaat hier niet over alle email, maar over binnenkomende Internet mail. Het onderzoek is niet gericht op personen, maar op security en het is grotendeels geautomatiseerd.
Er is overigens ook iets voor te zeggen om interne en uitgaande email op te slaan. Interne email is voor security research niet zo interessant, maar uitgaande mail wel omdat een lek kan zijn. Interne mail systemen herschrijven emails vaak, waardoor forensische security details verloren gaan.
Sommige bedrijven slaan alle email op voor andere redenen, zoals bedrijfscontinuiteit en aansprakelijkheid. Als dat gebeurt moeten werknemers ook over worden geinformeerd en je het is geen vrijbrief om zonder geldige reden emails te gaan lezen. Daarvoor kunnen het beste procedures worden gemaakt, bijvoorbeeld bij uittreden en overdracht en in gevallen van serieus vermoeden van fraude e.d.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
