Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Read receipts in Excel mis-/gebruiken

14-11-2017, 12:00 door Fontys Cyber security, 6 reacties
Naar aanleiding van dit artikel https://www.security.nl/posting/528885/Politie+gebruikte+mogelijk+Excel-bestanden+om+Tor-gebruikers+te+ontmaskeren, hebben studenten aan de Fontys FHICT cybersecurity een onderzoek gestart naar deze “exploit”. Met onderstaande resultaten als gevolg.

Uit het artikel blijkt dat de Nederlandse politie Excel files heeft gebruikt om het IP-adres van gebruikers van Hansa Market te achterhalen. In ons onderzoek zijn soortgelijke Excel files opgezet en in een gecontroleerde omgeving gebruikt om data van deelnemers te achterhalen, dit om ze de werking van de “exploit” te achterhalen.

Voor het verzamelen van de data is er in een excel file een afbeelding geplaatst (net zoals het artikel vermeld), die een HEAD-Request stuurt naar een eigen webserver voordat er aan de gebruiker gevraagd wordt om netwerkfuntionaliteiten te gebruiken. De data die tijdens het onderzoek werd verzameld werd geanalyseerd en gefilterd binnen de Elastic Stack.

Na het uitvoeren van het onderzoek hebben wij het volgend vermoeden over hoe de Nederlands politie deze “exploit” heeft gebruikt. Dit houdt in dat wij vermoeden dat er in het excel file een afbeelding wordt geplaatst, waarna er door de code van het excel file zelf aan te passen een link kan worden gelegd naar de webserver. De daadwerkelijk werkwijze is ook tijdens het onderzoek uitgewerkt maar vanwege veiligheids bewegingen besluiten we deze niet te plaatsen, echter kunnen deze wel persoonlijk worden aangevraagd mits een goede reden hiervoor wordt gegeven.

Wat wel uit het onderzoek naar voren kwam is dat Excel voor het ophalen van de afbeeldingen gebruik maakt van een eigen versie van IE7 met een eigen user agent.

Ook is gekeken naar enkele mitigatie mogelijkheden. Dit kunnen zijn, het gebruik van een vpn, het openen in Google Docs, of firewalls laten filteren op user agents.

Na het onderzoek is er een debat ontstaan over het feit of de manier waarop het HEAD-request wordt verzonden een risico of feature is. Uit dit debat zijn de volgende argumenten aangevoerd.

De argumenten die voor het huidige gebruik van het HEAD-request zijn:
Dit is zodat Excel er achter kan komen of de png nog bestaat zodat het bekend is of het inschakelen van netwerkfunctionaliteit wel nodig is.
Dit is zodat Excel de opmaakt van de sheet kan maken omdat er dan bekend is wat de grote is van de png is.
Dit is zodat de gebruiker niet onnodig een extra klik hoeft uit te voeren voor de netwerkfunctionaliteit in te schakelen die het vervolgens niet doet.
Het is niet mogelijk om malware te krijgen door deze aanvraag te doen.


De argumenten tegen het huidige gebruik van het HEAD-request zijn:
Excel doet ongevraagd een request naar een server, die dit kan monitoren, terwijl je dat misschien helemaal niet wilt vanwege privacy redenen.
Liever een keer extra, voor niets, klikken dan dat iedereen zomaar mijn informatie kan krijgen.
Het is niet mogelijk om deze functionaliteit uit te schakelen.

Daarnaast vragen we ons ook af wat de mening van de lezers hierover is.
Reacties (6)
14-11-2017, 12:04 door Anoniem
Als die prutsers gewoon whonix hadden gebruikt dan hoefden ze zich nieteens zorgen te maken over dit soort problemen.
14-11-2017, 12:25 door Anoniem
Door Anoniem: Als die prutsers gewoon whonix hadden gebruikt dan hoefden ze zich nieteens zorgen te maken over dit soort problemen.
Nope, whonix is ook geen hacktool. Dus ook een afrader om het internet te kraken :)
14-11-2017, 12:37 door Anoniem
:-0 Treedt dit probleem ook op in / met LibreOffice?
Nee? Nog een reden om deze gratis open source software te gaan gebruiken.

:-0 Heb je je Office nog niet op slot en grendel achter een firewall.
Gaat het nu op je to do lijstje, geen netwerkverbinding toegestaan door je Office programma. Simpel, doeltreffend en veilig.
O, kan je niet updaten omdat dat wordt geblokkeerd?
Dan periodiek de blokkade opheffen voor het update proces maar dan wel zonder geopende documenten.

:-( Webbugs, simpel en doeltreffend in office, pdf en mediabestanden voor wie de truuk nog niet kent en haar systeem daar op dichtgetimmerd heeft.

:-) Voor de meeste mensen zal dit risicoscenario nog wel te overzien zijn qua uitzonderlijkheid (nog wel) maar het scheelt je natuurlijk ook ruim in malware risico's die gemisbruikmaken van macro's etc.

;-) Snap best dat je moe bent van de continue besodemieterij op marktplaats maar weet niet of hansamarkets dan een goede pleister voor de belazerde ziel zijn.
Het lijkt erop van niet en het lichte vermoede bestaat dat het webbug risico wat af neemt als je geen marktplaatsen onder onion adressen bezoekt.
14-11-2017, 13:47 door Anoniem
Door Anoniem:
Door Anoniem: Als die prutsers gewoon whonix hadden gebruikt dan hoefden ze zich nieteens zorgen te maken over dit soort problemen.
Nope, whonix is ook geen hacktool. Dus ook een afrader om het internet te kraken :)
ik bedoel dat als de admin van hansa whonix gebruikten, ze niet gepakt waren, je kunt malware zelfs root rechten geven, zelfs dan kan die het ip address niet vinden, omdat whonix ws dit nieteens weet.
14-11-2017, 14:49 door Anoniem
Je kunt dit soort ellende behoorlijk beperken door te zorgen dat er vanaf je LAN geen (NAT) routing naar internet is, en
dan vervolgens een proxy te gebruiken om te kunnen browsen. In dit geval moet je dan niet de proxy in de systeem
instellingen zetten (want dan weet Excel het meteen ook), maar een OS-vreemde browser zoals Firefox kiezen waarin
je zelf de proxy kunt instellen op iets anders dan "use system settings".
Ook een proxy autoconfig script is een optie, waarin je dan gekke dingen kunt ondervangen. En je kunt je proxy met
user/password authenticatie laten werken. Als er dan een password popup komt wanneer je iets opent weet je dat dit
programma naar internet probeert te komen.
15-11-2017, 22:21 door Anoniem
Door Anoniem: Je kunt dit soort ellende behoorlijk beperken door te zorgen dat er vanaf je LAN geen (NAT) routing naar internet is, en
dan vervolgens een proxy te gebruiken om te kunnen browsen. In dit geval moet je dan niet de proxy in de systeem
instellingen zetten (want dan weet Excel het meteen ook), maar een OS-vreemde browser zoals Firefox kiezen waarin
je zelf de proxy kunt instellen op iets anders dan "use system settings".
Ook een proxy autoconfig script is een optie, waarin je dan gekke dingen kunt ondervangen. En je kunt je proxy met
user/password authenticatie laten werken. Als er dan een password popup komt wanneer je iets opent weet je dat dit
programma naar internet probeert te komen.

Uit het artikel:

Wat wel uit het onderzoek naar voren kwam is dat Excel voor het ophalen van de afbeeldingen gebruik maakt van een eigen versie van IE7 met een eigen user agent.

Conclusie:
Het kiezen van een OS vreemde browser met proxy heeft dus geen enkel effect.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.