image

Aanvallers achterhalen systeeminformatie via Word-feature

maandag 18 september 2017, 15:38 door Redactie, 7 reacties

Aanvallers maken gebruik van een feature in Microsoft Word om informatie over computers te achterhalen, zo laat anti-virusbedrijf Kaspersky Lab in een blogpost weten. Het gaat om de IncludePicture-feature waarmee het mogelijk is om via een link een afbeelding aan een document toe te voegen. Zodra het document wordt geopend zal Word de gelinkte afbeelding laden en in het document weergeven.

Kaspersky meldt dat aanvallers documenten als e-mailbijlage versturen die van deze feature misbruik maken. In plaats van een afbeelding bevatten de documenten links naar verschillende php-scripts. Als de ontvanger het document opent wordt de naam en versie van het besturingssysteem, de browser, .Net Framework en Microsoft Office naar de opgenomen links gestuurd. Volgens het anti-virusbedrijf zijn vorig jaar verschillende klanten het doelwit van deze aanval geworden. In april van dit jaar gaven onderzoekers van Kaspersky Lab tijdens de Security Analyst Summit al een presentatie over de aanval.

Eén van de documenten die de aanvallers gebruikten heeft als onderwerp "Google and Google Scholar Tips". Een slachtoffer dat dit document had geopend ontving een aantal dagen later opnieuw een document via e-mail, dit keer met een exploit voor zijn specifieke versie van Microsoft Word. Wie er achter de aanval zit en wie het doelwit zijn laat Kaspersky Lab niet weten. Volgens het anti-virusbedrijf werkt de IncludePicture-feature ook in in Microsoft Office voor Android en iOS. LibreOffice en OpenOffice bevatten de feature niet en zullen de kwaadaardige links in het document dus niet openen.

In tegenstelling tot de aanvallen via Microsoft Office-documenten die tot op heden plaatsvinden, waarbij er gebruik wordt gemaakt van macro's, embedded Flash-objecten of andere actieve content, vereist deze aanval geen extra interactie van de gebruiker. Alleen het openen van het document is voldoende om de systeeminformatie te versturen.

Image

Video - Undocumented MS Word Features Abused By Attackers. Bron: YouTube

Reacties (7)
18-09-2017, 15:45 door Anoniem
De informatie die hiermee achterhaald kan worden is beperkt. Ik geloof dat dit ook de methode is die de Politie heeft gebruikt om IP's te achterhalen. Dezelfde trackers worden ook al in e-mails gebruikt en werkt niet wanneer een document wordt geopend in alleen lezen modus.
18-09-2017, 18:01 door karma4 - Bijgewerkt: 18-09-2017, 20:45
Door Anoniem: De informatie die hiermee achterhaald kan worden is beperkt. Ik geloof dat dit ook de methode is die de Politie heeft gebruikt om IP's te achterhalen. Dezelfde trackers worden ook al in e-mails gebruikt en werkt niet wanneer een document wordt geopend in alleen lezen modus.
Alleen lezen mode hoort de standaard instelling voor externe content te zijn. Dan wordt er bewuste User interactie vereist om de boel te activeren = Pebcak.

Of de systeembeheerder zit te slapen of de gebruiker, dan wel beide. Dat maakt weinig uit voor de faal. Afrekenen bij dd CSO cio CFO uiteindelijk de CEO.
18-09-2017, 19:18 door Anoniem
weer zo een ding van MS dat default aan staat en niet een opt in optie is.


Alleen lezen mode hoort de standaard instell ik ng voor externe content te zijn. Dan wordt er bewuste User interactie vereist om de boel te activeren = Pebcak.

Od de systeembeheerder zit te slapen of de gebruiker dan we beide. Dat maakt weinig uit voor de faal. Afrekenen bij dd CSO cio CFO uiteindelijk de CEO.

lees het zaakje nog eens HEEEEL LANGZAAAM DOOR en verdiep je eens in de HTML GET request en zie wat er in headers zit bij je 'alleen lezen'.
18-09-2017, 20:44 door karma4 - Bijgewerkt: 18-09-2017, 20:49
Door Anoniem: weer zo een ding van MS dat default aan staat en niet een opt in optie is.

lees het zaakje nog eens HEEEEL LANGZAAAM DOOR en verdiep je eens in de HTML GET request en zie wat er in headers zit bij je 'alleen lezen'.
Lees het artikel nog eens door. Een document met markering van externe bron stop veel af. Onder het openen van dat soort zaken. Een html get request is b.v. apache webserver en gaat over web/html content. Kan uitstekend met javascript en ook met documenten, dat laatste alleen als dat ook als api intern geactiveerd is. Kom je als applicatieve invulling van embedded
links terecht. Je moet zelf wel eens een behoorlijk iets in elkaar gezet hebben om de keuzes en overwegingen te snappen.

Niks bijzonder nieuw als je de ontwikkelingen gevolgd hebt https://en.wikipedia.org/wiki/Standard_Generalized_Markup_Language data gaat ver terug in tijd https://en.wikipedia.org/wiki/IBM_Generalized_Markup_Language bookmaster ooit mee gewerkt. Juist om de docs klein te houden verwijzingen naar externe documenten. De ontwerpmethode en invullingen daarna her en der terug gezien.

https://support.office.com/en-us/article/Block-or-unblock-external-content-in-Office-documents-10204AE0-0621-411F-B0D6-575B0847A795 Er kan een fout gemaakt worden met de invulling. Dat is een softwarefout geen ontwerpfout. Het nare is dat gebruikers zo min mogelijk met vragen opgezadeld willen worden. Een verkeerd beheerde omgeving zal alles onderuit halen, dat is bewuste of onbewuste onkunde.
18-09-2017, 21:07 door Anoniem
Voor die mensen die dat gangbare geneuzel van karma ook nooit kunnen volgen, in de https://securelist.com/an-undocumented-word-feature-abused-by-attackers/81899/ link staat een plaatje van een GET header me daarin duidelijk gemaakt dat het om de user-agent string gaat die MS word stuurt zodra er een GET request gedaan wordt vol automatisch zonder gebruikers mede weten.

het enige een admin kan doen is mbv een firewall geen extrene connecties naar poorten 80 en 443 laten gaan wat een gemiddelde werkplek wel op zijn gat gaat leggen, en vrij snel omzeild kan worden door een alternatieve poort te gaan gebruiken of met een blacklist van foute URLs gaan werken die via de DNS of een hosts file afgevangen wordt.

karmas sugestie om daarom maar je CEO/CIO de wacht te zetten is dus volkomen ridicuul.

Uiteraard de beste situatie was geweest dat (net zoals bij open office / libre office) dit niet std gebeurt, maar pas met expliciete toestemming van gebruiker door een opt in of een waarschuwing. Maarja, MS...
19-09-2017, 03:36 door Anoniem
Door Anoniem: karmas sugestie om daarom maar je CEO/CIO de wacht te zetten is dus volkomen ridicuul.

Uiteraard de beste situatie was geweest dat (net zoals bij open office / libre office) dit niet std gebeurt, maar pas met expliciete toestemming van gebruiker door een opt in of een waarschuwing. Maarja, MS...

Helemaal mee eens op beide issue´s

Ikzelf word er ZO ziek van om steeds maar weer zaken te blokkeren en poorten te verschuiven. Het is dweilen met de kraan open... maar ja whats in a job.
19-09-2017, 10:34 door Anoniem
foutlook 365... nee 364... nee 363...

efin:

http://www.bbc.com/news/technology-41306441
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.