image

Vorige week gepatcht lek in Microsoft Office actief aangevallen

zondag 26 november 2017, 11:02 door Redactie, 13 reacties

Een ernstig beveiligingslek in Microsoft Office dat vorige week dinsdag werd gepatcht wordt inmiddels actief gebruikt om Windows-computers met malware te infecteren. Alleen het openen van een kwaadaardig rtf-document met een kwetsbare versie van Office is voldoende om aanvallers controle over het systeem te geven, zo waarschuwen securitybedrijven Carbon Black en Reversing Labs.

De kwetsbaarheid in kwestie bleek aanwezig te zijn in alle Office-versies die de afgelopen 17 jaar verschenen. Het securitybedrijf dat het beveiligingslek ontdekte en aan Microsoft rapporteerde stelde dat de beveiligingsmaatregel Protected View, die sinds Office 2010 in de kantoorsoftware aanwezig is, tegen misbruik kan beschermen. Protected View blokkeert namelijk het uitvoeren van actieve content in documenten die van het web afkomstig zijn. In dit geval zal een aanvaller het slachtoffer zover moeten zien te krijgen dat die Protected View uitschakelt voordat de kwaadaardige code in het document wordt uitgevoerd. Zowel Carbon Black als Reversing Labs maken hier echter geen melding van.

Verder laat Carbon Black weten dat twee beveiligingsmaatregelen genaamd Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR) misbruik van de kwetsbaarheid zouden moeten voorkomen, maar het kwetsbare Office-onderdeel blijkt hier geen gebruik van te maken. Microsoft biedt gebruikers wel de Enhanced Mitigation Experience Toolkit (EMET) en Windows Defender Exploit Guard in Windows 10 om onder andere tegen Office-exploits te beschermen. Ook de beveiligingsmaatregelen van deze twee tools gelden niet voor het kwetsbare Office-onderdeel, tenzij ze voor het gehele systeem zijn ingesteld.

De nu waargenomen aanvallen zijn afkomstig van een groep genaamd Cobalt, die het volgens Trend Micro op Russische banken en financiële instellingen heeft voorzien. De documenten die de aanvallers naar hun slachtoffers sturen hebben een Russische naam, alsmede "account details.rtf" en "news.swift.rtf". De Society for Worldwide Interbank Financial Telecommunication (Swift) is een internationale coöperatieve organisatie voor internationale banktransacties. Wanneer de aanval succesvol is wordt er een backdoor op het systeem geïnstalleerd waarmee de aanvallers volledige controle krijgen. Gebruikers en organisaties die de update nog niet hebben geïnstalleerd krijgen het advies dit zo spoedig mogelijk te doen.

Image

Reacties (13)
26-11-2017, 11:27 door Anoniem
Dat je vanaf de C:\ prompt vanuit een .rtf bestand direct een .exe kunt starten vanaf een server dat is toch ongelofelijk???
Toch handig (lees: veiliger) dat je in Linux/Unix een bestand eerst execute rechten moet geven via het root password.
26-11-2017, 11:52 door -karma4 - Bijgewerkt: 26-11-2017, 12:06
Man, man, man! Weer van die luie honden die hun updates niet tijdig op orde hebben? En dan maar klagen!
26-11-2017, 14:09 door karma4
Door Anoniem: Dat je vanaf de C:\ prompt vanuit een .rtf bestand direct een .exe kunt starten vanaf een server dat is toch ongelofelijk???
Toch handig (lees: veiliger) dat je in Linux/Unix een bestand eerst execute rechten moet geven via het root password.
Duidelijk geen kennis van Linux.
Iedereen kan zelf de rechten toekennen voor de bestanden waarvan hij eigenaar is. Dat is inclusief execute rechten.
De "race condition" is een bekend verhaal om machines compleet over te nemen omdat er gewoonlijk veel te veel onder root draait. Dat algemene gebruik van root is een standaard waarover niet verder nagedacht wordt.

In het eerdere verhaal staat ook een belangrijke voorwaarde
- "Dit is wel afhankelijk van de rechten van de ingelogde gebruiker en de gebruikte Office-versie." Het argument het is mijn computer en ik bepaal dat ik met de admin/root werk is het eerste grootste issue.
- De tweede "in dit geval zal een aanvaller het slachtoffer zover moeten zien te krijgen dat die Protected View uitschakelt "
Die zie ik al tijden actief staan niet eens in de laatste versie. Ergo PEBCAK.

Ik ken een veel groter ICT probleem, het bestaat el meer dan 60 jaar en er lijkt weinig aan te doen zijn.
Complete onkunde van Nerds om behoorlijk te communiceren over techniek met risico en impact van bepaalde handelingen.
26-11-2017, 16:02 door Anoniem
Door karma4:
Door Anoniem: Dat je vanaf de C:\ prompt vanuit een .rtf bestand direct een .exe kunt starten vanaf een server dat is toch ongelofelijk???
Toch handig (lees: veiliger) dat je in Linux/Unix een bestand eerst execute rechten moet geven via het root password.
Duidelijk geen kennis van Linux.
Iedereen kan zelf de rechten toekennen voor de bestanden waarvan hij eigenaar is. Dat is inclusief execute rechten.
De "race condition" is een bekend verhaal om machines compleet over te nemen omdat er gewoonlijk veel te veel onder root draait. Dat algemene gebruik van root is een standaard waarover niet verder nagedacht wordt.

In het eerdere verhaal staat ook een belangrijke voorwaarde
- "Dit is wel afhankelijk van de rechten van de ingelogde gebruiker en de gebruikte Office-versie." Het argument het is mijn computer en ik bepaal dat ik met de admin/root werk is het eerste grootste issue.
- De tweede "in dit geval zal een aanvaller het slachtoffer zover moeten zien te krijgen dat die Protected View uitschakelt "
Die zie ik al tijden actief staan niet eens in de laatste versie. Ergo PEBCAK.

Ik ken een veel groter ICT probleem, het bestaat el meer dan 60 jaar en er lijkt weinig aan te doen zijn.
Complete onkunde van Nerds om behoorlijk te communiceren over techniek met risico en impact van bepaalde handelingen.

Klopt wat je zegt van de execute rechten van je eigen bestanden alleen moet je ze in Linux altijd handmatig, dus bewust toekennen. In Windows heeft elk .exe bestand automatisch execute rechten en daar zit het gevaar. Bovendien heeft dat bestand dan nog steeds geen root execute rechten.

Als een gebruiker "Protected View" uit heeft staan dan is ie geheel automatisch de klos.

PEBCAK??? Ik heb het maar even opgezocht via DuckduckGo. IT straattaal blijkbaar. Wil je daarmee laten zien dat je een IT prof bent? Geloof ik best, vast en zeker vaste klant bij Microsof.
26-11-2017, 19:04 door karma4
Door Anoniem:
Klopt wat je zegt van de execute rechten van je eigen bestanden alleen moet je ze in Linux altijd handmatig, dus bewust toekennen. In Windows heeft elk .exe bestand automatisch execute rechten en daar zit het gevaar. Bovendien heeft dat bestand dan nog steeds geen root execute rechten.

Als een gebruiker "Protected View" uit heeft staan dan is ie geheel automatisch de klos.

PEBCAK??? Ik heb het maar even opgezocht via DuckduckGo. IT straattaal blijkbaar. Wil je daarmee laten zien dat je een IT prof bent? Geloof ik best, vast en zeker vaste klant bij Microsof.
Die kreet heb ik pas onlangs geleerd .
Gewoonlijk is het ict volk bezig de schuld aan de gebruikers te geven met minder fraaie termen. Je zou service gerichtheid met communcatie verwachten. Dat was ooit het ideaal maar met het 9 vlaks model is dat procesmatig stuk gemaakt.

Voor die execute rechten dat het allen handmatig gast ia ook niet waar. Genoeg programma's die dat allemaal automatisch doen. Malware maakt daar gebruik van.
Om je te plagen: haal eens aals execute rechten van de mappen af. Exécuté rechten op directory is onzin toch.

Voor die laatste opmerking. Ik niets met microsoft maar wel behoorlijk last van onkunde op security en linux Unix gebied.
Voor de desktop geef ik soms adv u een Hoe iets beter/veiliger kan.
26-11-2017, 22:21 door Anoniem
Het is PEBKAC! Problem exists between keyboard and chair! Je zou geLART moeten worden!

En nee, het is onjuist en onterecht geclassificeerd als 'straattaal'.
26-11-2017, 22:32 door Anoniem
Door Anoniem: Dat je vanaf de C:\ prompt vanuit een .rtf bestand direct een .exe kunt starten vanaf een server dat is toch ongelofelijk???
Toch handig (lees: veiliger) dat je in Linux/Unix een bestand eerst execute rechten moet geven via het root password.

Jij werkt op Linux vanuit de root user? En dat durft dan andere systemen/users onveilig te noemen. Hah!
26-11-2017, 22:33 door Anoniem
Edit: (nieuwe post, enige manier als Anonieme user)
Ook niet weten wat PEBCAK is als Linux user. Hah!
27-11-2017, 09:43 door -karma4 - Bijgewerkt: 27-11-2017, 11:03
Door karma4:
Door Anoniem:
Klopt wat je zegt van de execute rechten van je eigen bestanden alleen moet je ze in Linux altijd handmatig, dus bewust toekennen. In Windows heeft elk .exe bestand automatisch execute rechten en daar zit het gevaar. Bovendien heeft dat bestand dan nog steeds geen root execute rechten.
...
Voor die execute rechten dat het allen handmatig gast ia ook niet waar. Genoeg programma's die dat allemaal automatisch doen. Malware maakt daar gebruik van.

Iets met kip en ei. Dat programma wat dat onder Linux automatisch zou doen moet wel eerst zelf execute rechten krijgen. Dat gaat niet vanzelf. Dus wat anoniem zegt is wel degelijk waar.
27-11-2017, 13:22 door Joep Lunaar
Door karma4: ...
Exécuté rechten op directory is onzin toch.
...
Je verward de benaming van een bit x in een access mask met de betekenis ervan (name != semantics).

Die is namelijk voor bestanden anders dan voor mappen. Voor bestanden betekent het inderdaad of het mag worden uitgevoerd, voor mappen betekent het of een map betreden mag worden. De oorspronkelijke ontwerpers van UNIX (of was het MULTICS ?) waren zo slim om te hetzelfde bitje voor twee verschillende, nooit samenvallende, situaties te gebruiken en konden zo ruimte sparen.

Met een beetje goede wil mag je het betreden van een map zien als "execution of a map" en zal verwarren van benaming en betekenis minder bijten. Dit gaat verder nergens over, maar je uitroep "onzin toch" is wat dommig.
27-11-2017, 13:38 door Joep Lunaar
Door Anoniem:
Door Anoniem: Dat je vanaf de C:\ prompt vanuit een .rtf bestand direct een .exe kunt starten vanaf een server dat is toch ongelofelijk???
Toch handig (lees: veiliger) dat je in Linux/Unix een bestand eerst execute rechten moet geven via het root password.

Jij werkt op Linux vanuit de root user? En dat durft dan andere systemen/users onveilig te noemen. Hah!

Misschien lees je iets wat de schrijver ervan niet bedoelde.
Veronderstellend dat de schrijver iets zinnigs probeerde te vertellen, duidde die vermoedelijk met "root password" op het verschijnsel dat op vrijwel alle *NIX distributies voor het zetten van de access mode van een bestand in de root (/) de privileges verbonden met root (uid=0) nodig zijn. Vaak kan root worden bereikt met het commando sudo dat het OS pas toestaat nadat het de gebruiker heeft kunnen authenticeren aan de hand van diens wachtwoord. Een heel zinnige praktijk.
27-11-2017, 14:02 door karma4 - Bijgewerkt: 27-11-2017, 14:05
Door Joep Lunaar: .....
Met een beetje goede wil mag je het betreden van een map zien als "execution of a map" en zal verwarren van benaming en betekenis minder bijten. Dit gaat verder nergens over, maar je uitroep "onzin toch" is wat dommig.
Ik zei niet voor niets even plagen.
De beschreven reactie is afkomstig van security architecten / auditors. Het zijn de beleidsmakers die er zo op sturen zodra ze iets van techniek zien dat ze onbegrijpelijk vinden.
Daarna is her vrijwel onmogelijk om het nog op orde te krijgen. Het sticky bit heeft eveneens een aparte betekenis op directories. Die is nog lastiger naast de hele hfs architectuur.

Iets met kip en ei. Dat programma wat dat onder Linux automatisch zou doen moet wel eerst zelf execute rechten krijgen. Dat gaat niet vanzelf. Dus wat anoniem zegt is wel degelijk waar.
Nope het is algemeen beschikbare basisfunctinaliteit. Onderdeel van elke basis waar maar IO libraries in zitten C bijvoorbeeld.
27-11-2017, 22:48 door -karma4 - Bijgewerkt: 28-11-2017, 02:08
Door karma4:
Door The FOSS: Iets met kip en ei. Dat programma wat dat onder Linux automatisch zou doen moet wel eerst zelf execute rechten krijgen. Dat gaat niet vanzelf. Dus wat anoniem zegt is wel degelijk waar.
Nope het is algemeen beschikbare basisfunctinaliteit. Onderdeel van elke basis waar maar IO libraries in zitten C bijvoorbeeld.

Ik hoop dat je beseft dat "die basis waar maar I/O-libraries in zitten C bijvoorbeeld" wel eerst uitgevoerd zal moeten worden (waarvoor iemand een execute permissie toekent). Dus Anoniem heeft gewoon gelijk dat aan het begin van de ketting een execute bit handmatig toegekend zal moeten worden onder Linux. Dit in tegenstelling tot Windows, waar alles wat .exe heet gewoon domweg uitgevoerd wordt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.