Vorige week gepatcht lek in Microsoft Office actief aangevallen
Een ernstig beveiligingslek in Microsoft Office dat vorige week dinsdag werd gepatcht wordt inmiddels actief gebruikt om Windows-computers met malware te infecteren. Alleen het openen van een kwaadaardig rtf-document met een kwetsbare versie van Office is voldoende om aanvallers controle over het systeem te geven, zo waarschuwen securitybedrijven Carbon Black en Reversing Labs.
De kwetsbaarheid in kwestie bleek aanwezig te zijn in alle Office-versies die de afgelopen 17 jaar verschenen. Het securitybedrijf dat het beveiligingslek ontdekte en aan Microsoft rapporteerde stelde dat de beveiligingsmaatregel Protected View, die sinds Office 2010 in de kantoorsoftware aanwezig is, tegen misbruik kan beschermen. Protected View blokkeert namelijk het uitvoeren van actieve content in documenten die van het web afkomstig zijn. In dit geval zal een aanvaller het slachtoffer zover moeten zien te krijgen dat die Protected View uitschakelt voordat de kwaadaardige code in het document wordt uitgevoerd. Zowel Carbon Black als Reversing Labs maken hier echter geen melding van.
Verder laat Carbon Black weten dat twee beveiligingsmaatregelen genaamd Data Execution Prevention (DEP) en Address Space Layout Randomization (ASLR) misbruik van de kwetsbaarheid zouden moeten voorkomen, maar het kwetsbare Office-onderdeel blijkt hier geen gebruik van te maken. Microsoft biedt gebruikers wel de Enhanced Mitigation Experience Toolkit (EMET) en Windows Defender Exploit Guard in Windows 10 om onder andere tegen Office-exploits te beschermen. Ook de beveiligingsmaatregelen van deze twee tools gelden niet voor het kwetsbare Office-onderdeel, tenzij ze voor het gehele systeem zijn ingesteld.
De nu waargenomen aanvallen zijn afkomstig van een groep genaamd Cobalt, die het volgens Trend Micro op Russische banken en financiële instellingen heeft voorzien. De documenten die de aanvallers naar hun slachtoffers sturen hebben een Russische naam, alsmede "account details.rtf" en "news.swift.rtf". De Society for Worldwide Interbank Financial Telecommunication (Swift) is een internationale coöperatieve organisatie voor internationale banktransacties. Wanneer de aanval succesvol is wordt er een backdoor op het systeem geïnstalleerd waarmee de aanvallers volledige controle krijgen. Gebruikers en organisaties die de update nog niet hebben geïnstalleerd krijgen het advies dit zo spoedig mogelijk te doen.
Toch handig (lees: veiliger) dat je in Linux/Unix een bestand eerst execute rechten moet geven via het root password.
Toch handig (lees: veiliger) dat je in Linux/Unix een bestand eerst execute rechten moet geven via het root password.
Iedereen kan zelf de rechten toekennen voor de bestanden waarvan hij eigenaar is. Dat is inclusief execute rechten.
De "race condition" is een bekend verhaal om machines compleet over te nemen omdat er gewoonlijk veel te veel onder root draait. Dat algemene gebruik van root is een standaard waarover niet verder nagedacht wordt.
In het eerdere verhaal staat ook een belangrijke voorwaarde
- "Dit is wel afhankelijk van de rechten van de ingelogde gebruiker en de gebruikte Office-versie." Het argument het is mijn computer en ik bepaal dat ik met de admin/root werk is het eerste grootste issue.
- De tweede "in dit geval zal een aanvaller het slachtoffer zover moeten zien te krijgen dat die Protected View uitschakelt "
Die zie ik al tijden actief staan niet eens in de laatste versie. Ergo PEBCAK.
Ik ken een veel groter ICT probleem, het bestaat el meer dan 60 jaar en er lijkt weinig aan te doen zijn.
Complete onkunde van Nerds om behoorlijk te communiceren over techniek met risico en impact van bepaalde handelingen.
Toch handig (lees: veiliger) dat je in Linux/Unix een bestand eerst execute rechten moet geven via het root password.
Iedereen kan zelf de rechten toekennen voor de bestanden waarvan hij eigenaar is. Dat is inclusief execute rechten.
De "race condition" is een bekend verhaal om machines compleet over te nemen omdat er gewoonlijk veel te veel onder root draait. Dat algemene gebruik van root is een standaard waarover niet verder nagedacht wordt.
In het eerdere verhaal staat ook een belangrijke voorwaarde
- "Dit is wel afhankelijk van de rechten van de ingelogde gebruiker en de gebruikte Office-versie." Het argument het is mijn computer en ik bepaal dat ik met de admin/root werk is het eerste grootste issue.
- De tweede "in dit geval zal een aanvaller het slachtoffer zover moeten zien te krijgen dat die Protected View uitschakelt "
Die zie ik al tijden actief staan niet eens in de laatste versie. Ergo PEBCAK.
Ik ken een veel groter ICT probleem, het bestaat el meer dan 60 jaar en er lijkt weinig aan te doen zijn.
Complete onkunde van Nerds om behoorlijk te communiceren over techniek met risico en impact van bepaalde handelingen.
Klopt wat je zegt van de execute rechten van je eigen bestanden alleen moet je ze in Linux altijd handmatig, dus bewust toekennen. In Windows heeft elk .exe bestand automatisch execute rechten en daar zit het gevaar. Bovendien heeft dat bestand dan nog steeds geen root execute rechten.
Als een gebruiker "Protected View" uit heeft staan dan is ie geheel automatisch de klos.
PEBCAK??? Ik heb het maar even opgezocht via DuckduckGo. IT straattaal blijkbaar. Wil je daarmee laten zien dat je een IT prof bent? Geloof ik best, vast en zeker vaste klant bij Microsof.
Klopt wat je zegt van de execute rechten van je eigen bestanden alleen moet je ze in Linux altijd handmatig, dus bewust toekennen. In Windows heeft elk .exe bestand automatisch execute rechten en daar zit het gevaar. Bovendien heeft dat bestand dan nog steeds geen root execute rechten.
Als een gebruiker "Protected View" uit heeft staan dan is ie geheel automatisch de klos.
PEBCAK??? Ik heb het maar even opgezocht via DuckduckGo. IT straattaal blijkbaar. Wil je daarmee laten zien dat je een IT prof bent? Geloof ik best, vast en zeker vaste klant bij Microsof.
Gewoonlijk is het ict volk bezig de schuld aan de gebruikers te geven met minder fraaie termen. Je zou service gerichtheid met communcatie verwachten. Dat was ooit het ideaal maar met het 9 vlaks model is dat procesmatig stuk gemaakt.
Voor die execute rechten dat het allen handmatig gast ia ook niet waar. Genoeg programma's die dat allemaal automatisch doen. Malware maakt daar gebruik van.
Om je te plagen: haal eens aals execute rechten van de mappen af. Exécuté rechten op directory is onzin toch.
Voor die laatste opmerking. Ik niets met microsoft maar wel behoorlijk last van onkunde op security en linux Unix gebied.
Voor de desktop geef ik soms adv u een Hoe iets beter/veiliger kan.
En nee, het is onjuist en onterecht geclassificeerd als 'straattaal'.
Toch handig (lees: veiliger) dat je in Linux/Unix een bestand eerst execute rechten moet geven via het root password.
Jij werkt op Linux vanuit de root user? En dat durft dan andere systemen/users onveilig te noemen. Hah!
Ook niet weten wat PEBCAK is als Linux user. Hah!
Klopt wat je zegt van de execute rechten van je eigen bestanden alleen moet je ze in Linux altijd handmatig, dus bewust toekennen. In Windows heeft elk .exe bestand automatisch execute rechten en daar zit het gevaar. Bovendien heeft dat bestand dan nog steeds geen root execute rechten.
Voor die execute rechten dat het allen handmatig gast ia ook niet waar. Genoeg programma's die dat allemaal automatisch doen. Malware maakt daar gebruik van.
Iets met kip en ei. Dat programma wat dat onder Linux automatisch zou doen moet wel eerst zelf execute rechten krijgen. Dat gaat niet vanzelf. Dus wat anoniem zegt is wel degelijk waar.
Exécuté rechten op directory is onzin toch.
...
Die is namelijk voor bestanden anders dan voor mappen. Voor bestanden betekent het inderdaad of het mag worden uitgevoerd, voor mappen betekent het of een map betreden mag worden. De oorspronkelijke ontwerpers van UNIX (of was het MULTICS ?) waren zo slim om te hetzelfde bitje voor twee verschillende, nooit samenvallende, situaties te gebruiken en konden zo ruimte sparen.
Met een beetje goede wil mag je het betreden van een map zien als "execution of a map" en zal verwarren van benaming en betekenis minder bijten. Dit gaat verder nergens over, maar je uitroep "onzin toch" is wat dommig.
Toch handig (lees: veiliger) dat je in Linux/Unix een bestand eerst execute rechten moet geven via het root password.
Jij werkt op Linux vanuit de root user? En dat durft dan andere systemen/users onveilig te noemen. Hah!
Misschien lees je iets wat de schrijver ervan niet bedoelde.
Veronderstellend dat de schrijver iets zinnigs probeerde te vertellen, duidde die vermoedelijk met "root password" op het verschijnsel dat op vrijwel alle *NIX distributies voor het zetten van de access mode van een bestand in de root (/) de privileges verbonden met root (uid=0) nodig zijn. Vaak kan root worden bereikt met het commando sudo dat het OS pas toestaat nadat het de gebruiker heeft kunnen authenticeren aan de hand van diens wachtwoord. Een heel zinnige praktijk.
Met een beetje goede wil mag je het betreden van een map zien als "execution of a map" en zal verwarren van benaming en betekenis minder bijten. Dit gaat verder nergens over, maar je uitroep "onzin toch" is wat dommig.
De beschreven reactie is afkomstig van security architecten / auditors. Het zijn de beleidsmakers die er zo op sturen zodra ze iets van techniek zien dat ze onbegrijpelijk vinden.
Daarna is her vrijwel onmogelijk om het nog op orde te krijgen. Het sticky bit heeft eveneens een aparte betekenis op directories. Die is nog lastiger naast de hele hfs architectuur.
Ik hoop dat je beseft dat "die basis waar maar I/O-libraries in zitten C bijvoorbeeld" wel eerst uitgevoerd zal moeten worden (waarvoor iemand een execute permissie toekent). Dus Anoniem heeft gewoon gelijk dat aan het begin van de ketting een execute bit handmatig toegekend zal moeten worden onder Linux. Dit in tegenstelling tot Windows, waar alles wat .exe heet gewoon domweg uitgevoerd wordt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
