image

Nieuwe aanval via Microsoft Office-documenten werkt zonder macro's

maandag 30 mei 2022, 16:26 door Redactie, 9 reacties

Aanvallers hebben een nieuwe methode gevonden om systemen via malafide Microsoft Office-documenten met malware te infecteren, waarbij er geen gebruik wordt gemaakt van macro's. Daarbij kan alleen een preview van het document, zonder het bestand daadwerkelijk te openen, voldoende zijn om besmet te raken. Dat meldt beveiligingsonderzoeker Kevin Beaumont.

Onderzoekers van nao_sec ontdekten via Googles online virusscandienst VirusTotal een .doc-document dat vanaf een Belarussisch ip-adres was geüpload. Het document gebruikte de Word remote template feature om een html-bestand van een webserver te downloaden, die het ms-msdt-protocol gebruikt om automatisch kwaadaardige code uit te voeren. Msdt staat voor Microsoft Support Diagnostic Tool en is een tool waarmee Microsoft informatie verzamelt en naar de eigen servers stuurt.

In het geval van het kwaadaardige document was een malafide msdt-url toegevoegd die Microsoft Office automatisch verwerkt, waarna de gedownloade PowerShell-code wordt uitgevoerd. Dit gebeurt ook wanneer macro's zijn uitgeschakeld. De Protected View-beveiliging van Microsoft Office biedt bescherming, maar wanneer het document naar een .rtf-document wordt veranderd, wordt de kwaadaardige code uitgevoerd zonder het bestand te openen en biedt Protected View ook geen bescherming. Alleen het bekijken van het document via de preview in Windowsverkenner is voldoende.

"Het is een zeroday die het uitvoeren van code in Office-producten mogelijk maakt. Wanneer er een makkelijke manier is om code direct vanuit Office uit te voeren, hebben mensen hier in het verleden misbruik van gemaakt om slechte dingen te doen", aldus Beaumont, die opmerkt dat de detectie door beveiligingsleveranciers slecht is. Meer dan een maand geleden blijkt dat een ander kwaadaardig document dat van de aanval gebruikmaakt naar VirusTotal is geüpload.

Volgens het Internet Storm Center werkt de nieuwe aanval niet met alle Office-versies. Er zijn echter verschillende aanvallen tegen Office 2013, 2016, 2019 en 2021 gedemonstreerd. Beaumont merkt op dat ook Office 365 Semi-Annual Channel kwetsbaar is. De insider en meest recente versies van Office zouden niet kwetsbaar zijn, wat kan suggereren dat Microsoft in deze versies het probleem stilletjes heeft verholpen, maar dit is onbevestigd. Als tijdelijke oplossing wordt door Will Dormann van het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit aangeraden om het ms-msdt-protocol via het Windows-register uit te schakelen en de preview-optie in Windowsverkenner uit te zetten.

Image

Reacties (9)
30-05-2022, 16:57 door Anoniem
Het wordt steeds gekker met die Microsoft producten.
De insider en meest recente versies van Office zouden niet kwetsbaar zijn, wat kan suggereren dat Microsoft in deze versies het probleem stilletjes heeft verholpen, maar dit is onbevestigd
Zoals ik al eerder zei. De gemelde kritieke problemen elke maand is maar het topje van de ijsberg omdat ze door anderen worden aangemeld. Het is closed source zodat Microsoft het stilletjes kan patchen.
30-05-2022, 18:02 door Anoniem
Goed idee om stilletjes te patchen om allerlui niet op een idee te brengen. Doen wel meer leveranciers. Sommigen trkken niet eens geen CVE meer uit, nog minder zichtbaarheid, of verwerken eea in een functionele update.
30-05-2022, 19:08 door Anoniem
Door Anoniem: Het wordt steeds gekker met die Microsoft producten.

Volgens mij weten ze zelf niet eens meer wat hun core business is.
30-05-2022, 22:39 door Anoniem
Door Anoniem:
Door Anoniem: Het wordt steeds gekker met die Microsoft producten.

Volgens mij weten ze zelf niet eens meer wat hun core business is.

Jawel. Geld verdienen, hoe dan ook.

-HaSo
31-05-2022, 08:01 door Anoniem
Jammer dat reacties vaak niet meer inhoudelijk op het probleem ingaan en de toevallige lezer meerwaarde geven.... Helaas zodra er 'Microsoft' genoemd wordt weet je al dat alle anti-Microsoft trolls weer onder hun bureau vandaan kruipen. Want opensource is koning en Linux het enige juiste OS...alsof daar nooit iets fout gaat.

Zie ook de eerste reactie. 0 meerwaarde maar een heerlijk bash naar Microsoft...het zal voor sommige wel als een soort drug fungeren of zo. Ik hou tegenwoordig bij een artikel over Microsoft in elk geval op met scrollen naar de reacties. Als ik inhoudelijk meerwaarde zoek in de reacties over een bepaald artikel ga ik wel naar een andere site.
31-05-2022, 08:13 door gradje71
Door Anoniem: Het wordt steeds gekker met die Microsoft producten.
De insider en meest recente versies van Office zouden niet kwetsbaar zijn, wat kan suggereren dat Microsoft in deze versies het probleem stilletjes heeft verholpen, maar dit is onbevestigd
Zoals ik al eerder zei. De gemelde kritieke problemen elke maand is maar het topje van de ijsberg omdat ze door anderen worden aangemeld. Het is closed source zodat Microsoft het stilletjes kan patchen.

OOXML is ook een serieuze berg aan onzin. https://en.wikipedia.org/wiki/Standardization_of_Office_Open_XML
31-05-2022, 09:10 door Anoniem
Door Anoniem: Goed idee om stilletjes te patchen om allerlui niet op een idee te brengen. Doen wel meer leveranciers. Sommigen trkken niet eens geen CVE meer uit, nog minder zichtbaarheid, of verwerken eea in een functionele update.
Ik betwijfel of het zo'n goed idee is om kwetsbaarheden stil te houden. Dat maakt het alleen maar lastiger om te achterhalen welke software (nog) kwetsbaar is en welke niet. Zie ook https://github.blog/2022-04-22-removing-the-stigma-of-a-cve/.
31-05-2022, 10:08 door Anoniem
Door Anoniem: Jammer dat reacties vaak niet meer inhoudelijk op het probleem ingaan en de toevallige lezer meerwaarde geven.... Helaas zodra er 'Microsoft' genoemd wordt weet je al dat alle anti-Microsoft trolls weer onder hun bureau vandaan kruipen. Want opensource is koning en Linux het enige juiste OS...alsof daar nooit iets fout gaat.

Zie ook de eerste reactie. 0 meerwaarde maar een heerlijk bash naar Microsoft...het zal voor sommige wel als een soort drug fungeren of zo. Ik hou tegenwoordig bij een artikel over Microsoft in elk geval op met scrollen naar de reacties. Als ik inhoudelijk meerwaarde zoek in de reacties over een bepaald artikel ga ik wel naar een andere site.
Helemaal mee eens!
31-05-2022, 13:10 door Anoniem
Door Anoniem: Jammer dat reacties vaak niet meer inhoudelijk op het probleem ingaan en de toevallige lezer meerwaarde geven.... Helaas zodra er 'Microsoft' genoemd wordt weet je al dat alle anti-Microsoft trolls weer onder hun bureau vandaan kruipen. Want opensource is koning en Linux het enige juiste OS...alsof daar nooit iets fout gaat.

Zie ook de eerste reactie. 0 meerwaarde maar een heerlijk bash naar Microsoft...het zal voor sommige wel als een soort drug fungeren of zo. Ik hou tegenwoordig bij een artikel over Microsoft in elk geval op met scrollen naar de reacties. Als ik inhoudelijk meerwaarde zoek in de reacties over een bepaald artikel ga ik wel naar een andere site.
Zo te zien is het wel degelijk een inhoudelijke reactie. Kernwoorden topje van de ijsberg en gesloten software. Als het open was geweest waren dit soort problemen er waarschijnlijk al lang uit geweest. Security through obscurity werkt niet. Het is niet voor niets geen security standaard.
Ik lees wel dat jouw bijdrage 0 is en dat je de reageerder in diskrediet probeert te brengen met de bedoeling zijn reactie belachelijk te maken. Een echte Ad hominem. Verwerpelijk dus.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.