Securitybedrijf: Microsoft zou DDE-feature in Word moeten patchen
Microsoft moet met een oplossing voor de DDE-feature in Word komen nu cybercriminelen hier gebruik van maken. De Dynamic Data Exchange (DDE) feature van Word maakt het mogelijk om data van het ene document in een tweede document te injecteren. In plaats van een document kan er ook naar het uitvoeren van kwaadaardige code worden gelinkt. DDE is een legacy Inter-Process Communication (IPC) mechanisme dat van 1987 dateert.
Het bestaat uit een protocol dat is ontworpen om berichten tussen twee applicaties uit te wisselen. In het geval van DDE wordt het verder versterkt door toegang te verlenen tot gedeeld geheugen. Microsoft Office biedt een extensie om DDE binnen documenten met externe processen te laten communiceren. Zodoende is het via DDE in een Word-document mogelijk niet alleen mogelijk om Excel aan te roepen, maar ook om via cmd.exe commando's op het systeem uit te voeren.
Securitybedrijf SensePost waarschuwde Microsoft, maar de softwaregigant stelde dat het voorlopig geen maatregelen zal nemen omdat DDE als een feature wordt beschouwd. Mogelijk zal het bij een volgende versie van Office als 'kandidaat-bug' worden aangemerkt. Een mogelijke reden hiervoor is dat gebruikers in meerdere vensters toestemming moeten geven om de code die via DDE wordt aangeroepen uit te laten voeren.
Securitybedrijf EndGame besloot naar DDE binnen Word te kijken en ontdekte een bug in de implementatie. De MSDN-documentatie over DDE stelt dat de applicatie die DDE aanroept al moet draaien. Dat blijkt echter niet het geval te zijn. Daardoor kan een kwaadaardig Word-document via DDE bijvoorbeeld cmd.exe aanroepen en zo aanvullende commando's uitvoeren. Volgens Bill Finlayson van EndGame zou Microsoft dit kunnen verhelpen door de gebruiker te vragen om de aangeroepen applicatie zelf te starten in plaats van dit automatisch te doen.
Ook kan Microsoft de tekst in de dialoogvensters aanpassen en meer security-georiënteerd maken voordat de aangeroepen applicatie wordt uitgevoerd. Finlayson wijst echter naar alle aanvallen via macro's die laten zien dat de eindgebruiker uiteindelijk elk venster doorklikt, ongeacht de gebruikte bewoording. "De juiste oplossing is dan ook om de gebruiker te vragen om de applicatie te starten voordat ze in het dialoogvenster kunnen doorklikken, en daarna Word het verzoek opnieuw te laten uitvoeren." Finlayson vindt het dan ook jammer dat Microsoft het probleem niet wil oplossen, gezien het feit dat aanvallers steeds meer van deze feature gebruikmaken.
Wat laat Microsoft toch een geweldige erfenis na aan de wereld: slecht onderhouden closed source producten aanwezig op veel te veel computers.
Wat laat Microsoft toch een geweldige erfenis na aan de wereld: slecht onderhouden closed source producten aanwezig op veel te veel computers.
Vraag me af of dit alleen aan Microsoft ligt...
Andere bedrijven zie ik hetzelfde, zo kan je ook zien wat een erfenis Google met zijn fabrikanten achterlaat op al die Android devices die geen updates meer krijgen. Dat is denk dan nog kwalijker, ligt het hier ook aan "closed source producten"?
Microsoft update zijn software relatief lang vergeleken met concurrenten...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
