image

Securitybedrijf: Microsoft zou DDE-feature in Word moeten patchen

maandag 23 oktober 2017, 11:22 door Redactie, 3 reacties

Microsoft moet met een oplossing voor de DDE-feature in Word komen nu cybercriminelen hier gebruik van maken. De Dynamic Data Exchange (DDE) feature van Word maakt het mogelijk om data van het ene document in een tweede document te injecteren. In plaats van een document kan er ook naar het uitvoeren van kwaadaardige code worden gelinkt. DDE is een legacy Inter-Process Communication (IPC) mechanisme dat van 1987 dateert.

Het bestaat uit een protocol dat is ontworpen om berichten tussen twee applicaties uit te wisselen. In het geval van DDE wordt het verder versterkt door toegang te verlenen tot gedeeld geheugen. Microsoft Office biedt een extensie om DDE binnen documenten met externe processen te laten communiceren. Zodoende is het via DDE in een Word-document mogelijk niet alleen mogelijk om Excel aan te roepen, maar ook om via cmd.exe commando's op het systeem uit te voeren.

Securitybedrijf SensePost waarschuwde Microsoft, maar de softwaregigant stelde dat het voorlopig geen maatregelen zal nemen omdat DDE als een feature wordt beschouwd. Mogelijk zal het bij een volgende versie van Office als 'kandidaat-bug' worden aangemerkt. Een mogelijke reden hiervoor is dat gebruikers in meerdere vensters toestemming moeten geven om de code die via DDE wordt aangeroepen uit te laten voeren.

Securitybedrijf EndGame besloot naar DDE binnen Word te kijken en ontdekte een bug in de implementatie. De MSDN-documentatie over DDE stelt dat de applicatie die DDE aanroept al moet draaien. Dat blijkt echter niet het geval te zijn. Daardoor kan een kwaadaardig Word-document via DDE bijvoorbeeld cmd.exe aanroepen en zo aanvullende commando's uitvoeren. Volgens Bill Finlayson van EndGame zou Microsoft dit kunnen verhelpen door de gebruiker te vragen om de aangeroepen applicatie zelf te starten in plaats van dit automatisch te doen.

Ook kan Microsoft de tekst in de dialoogvensters aanpassen en meer security-georiënteerd maken voordat de aangeroepen applicatie wordt uitgevoerd. Finlayson wijst echter naar alle aanvallen via macro's die laten zien dat de eindgebruiker uiteindelijk elk venster doorklikt, ongeacht de gebruikte bewoording. "De juiste oplossing is dan ook om de gebruiker te vragen om de applicatie te starten voordat ze in het dialoogvenster kunnen doorklikken, en daarna Word het verzoek opnieuw te laten uitvoeren." Finlayson vindt het dan ook jammer dat Microsoft het probleem niet wil oplossen, gezien het feit dat aanvallers steeds meer van deze feature gebruikmaken.

Image

Reacties (3)
23-10-2017, 11:43 door Anoniem
Ach, de boel een beetje op orde krijgen is eigenlijk onbegonnen werk. Ladingen mensen werken nog met MS Office versies die alleen niet meer worden bijgewerkt ... dit soort problemen gaan niet weg, alleen uitsterving door het verloop van tijd biedt uitkomst.
Wat laat Microsoft toch een geweldige erfenis na aan de wereld: slecht onderhouden closed source producten aanwezig op veel te veel computers.
23-10-2017, 12:10 door Anoniem
Door Anoniem: Ach, de boel een beetje op orde krijgen is eigenlijk onbegonnen werk. Ladingen mensen werken nog met MS Office versies die alleen niet meer worden bijgewerkt ... dit soort problemen gaan niet weg, alleen uitsterving door het verloop van tijd biedt uitkomst.
Wat laat Microsoft toch een geweldige erfenis na aan de wereld: slecht onderhouden closed source producten aanwezig op veel te veel computers.

Vraag me af of dit alleen aan Microsoft ligt...

Andere bedrijven zie ik hetzelfde, zo kan je ook zien wat een erfenis Google met zijn fabrikanten achterlaat op al die Android devices die geen updates meer krijgen. Dat is denk dan nog kwalijker, ligt het hier ook aan "closed source producten"?
Microsoft update zijn software relatief lang vergeleken met concurrenten...
23-10-2017, 21:00 door Anoniem
wat mij irriteerd is dat dit soort legacy meuk wel std aan staat ipv std uitgevinked, en indien echt nodig, via een policy of vinkje dan maar aanzetten. dit was ook het probleem met SMBv1 en zo gaat het wel vaker, default alles open en klaar om gepowned te worden om dan via een klik safarie elke keer de settings op een sane en secure default te moeten zetten. maargoed, 'de klant zal het wel willen' wordt me wel eens afgewimpeld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.