Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onlangs ontdekt Word-lek wordt gebruikt voor spamcampagne met bankingtrojan

Door , 25 reacties, submitter: JelleDekkers

Beveiligingsbedrijf Proofpoint waarschuwt dat het een e-mailcampagne heeft ontdekt die kwaadaardige documenten verspreidt. Daarbij maken de aanvallers gebruik van een lek in Microsoft Word dat dit weekend door onderzoekers naar buiten werd gebracht.

Proofpoint meldt dat het bij de malware om de bekende Dridex-trojan gaat, die zich onder meer richt op het stelen van inloggegevens voor internetbankieren. De spamcampagne was gericht aan miljoenen gebruikers en concentreerde zich op ondernemingen in Australië. De onderzoekers merken op dat de personen achter de campagne snel hebben gereageerd, omdat het Word-lek nog niet lang bekend is. Hiervoor werden veel slachtoffers met Dridex geïnfecteerd door het gebruik van Word-macro's.

De verstuurde e-mails zijn voorzien van een bijlage in de vorm van een rtf-bestand. De e-mail doet het voorkomen alsof hij afkomstig is van een apparaat binnen de organisatie van de ontvanger, bijvoorbeeld een scanner of een kopieerapparaat. Het onderwerp is dan ook 'scan data' en de bijlagen dragen namen als 'scan 12345', waarbij de getallen willekeurig zijn. Zodra het document wordt geopend, wordt de exploit uitgevoerd. Proofpoint merkt op dat dit tijdens tests gebeurde, hoewel er een bericht in Word 2010 opdook met de waarschuwing dat het bestand links naar andere bestanden bevat.

Het Word-lek in kwestie, dat het overnemen van een systeem mogelijk maakt, werd onlangs naar buiten gebracht door onderzoekers van beveiligingsbedrijf McAfee en later door FireEye. Het gaat om een ernstig lek, omdat een succesvolle exploit de beveiligingsmaatregelen van Windows omzeilt en niet vereist dat gebruikers macro's inschakelen in Word. Gebruikers wordt dan ook aangeraden om geen onbekende Word-bestanden te openen. De methode zou niet werken in combinatie met Protected View, dat daarom een belangrijke barrière vormt, mits het ingeschakeld is.

F-Secure-beveiligingsonderzoeker Mikko Hypponen gaat ervan uit dat Microsoft dinsdag een patch uitbrengt voor de kwetsbaarheid, die samen met een Windows-lek wordt gebruikt. Microsoft zelf heeft nog geen bericht over de kwetsbaarheid naar buiten gebracht. De aanval via Word-documenten werkt doordat het bestand een OLE2link-object bevat. Na het openen van het bestand haalt Word via een http-verzoek een kwaadaardig hta-bestand binnen, dat eruitziet als een rtf-bestand. Vervolgens wordt Word afgesloten om de eerdergenoemde waarschuwing te verbergen en krijgt het slachtoffer een nepdocument te zien.

Moderatie-faq Wijzig weergave

Reacties (25)

Reactiefilter:-125025+113+22+30Ongemodereerd5
De methode zou niet werken in combinatie met Protected View, dat daarom een belangrijke barriŤre vormt, mits het ingeschakeld is.
Protected View is toch al enkele versies standaard bij het openen van een extern bestand?
Je moet dus ofwel protected view uitgezet hebben, of expliciet voor dit document uitzetten, wat je normaal toch niet doet voor een document dat zogezegd van je scanner komt?
Het document kan natuurlijk ook een andere herkomst veinzen en kan van een vertrouwde bron komen (collega bijvoorbeeld). Veel mensen klikken waarschijnlijk standaard de meldingen over Beveiligde Weergave weg, omdat die vaak irritant zijn als je toch iets wilt aanpassen in een document (dom natuurlijk, maar het zal vast gebeuren).
Veel mensen klikken waarschijnlijk standaard de meldingen over Beveiligde Weergave weg, omdat die vaak irritant zijn als je toch iets wilt aanpassen in een document (dom natuurlijk, maar het zal vast gebeuren).
Zelfs voor te printen moet je de beveiligde weergave uitschakelen 8)7 dus is het logisch dat veel mensen dat gelijk doen.
Sterker nog: je krijgt zelfs meldingen over hoe onveilig het is om bestanden te openen bij files die een collega heeft gemaakt en op Sharepoint heeft opgeslagen... Dus eerst de melding wegklikken, dan Beveiligde Weergave afsluiten en dan nog 'Bestand bewerken' klikken. Dat wordt op den duur zo irritant dat men er niet meer bij nadenkt.

[Reactie gewijzigd door bilgy_no1 op 11 april 2017 19:58]

In dit geval gaat het om een RTF-bestand met links naar andere bestanden. Hoe het in RTF zit weet ik niet, maar in Word bestanden kun je die functie gebruiken om bv hoofdstukken apart te maken (bv door verschillende gebruikers/werknemers) en deze samen te voegen in een hoofddocument. Word had daar vroeger een aparte functie voor, al werd die volgens mij niet veel gebruikt (de meesten kopiŽerden en plakten de verschillende delen gewoon aan elkaar.)

Sinds Office 2007 is die functie verstopt. In Word2016 vind ik in via Developer/Macros/ Macros in: WordCommands de functie InsertSubdocument nog terug maar die werkt alleen als je Word in 'Outline view' zet.

Dit soort functies worden, hoewel ze zeer nuttig kunnen zijn, nauwelijks gebruikt maar kunnen dus ook misbruikt worden. In feite zou je in Word moeten kunnen instellen van welke lokaties dergelijke subdocumenten wel en niet mogen komen. Via File/Options/Trust Center/Trust Center Settings/Trusted Locations is de infrastructuur hiervoor dus in principe al aanwezig. Ook zijn er opties voor Trusted Documents en Trusted Publishers. Hier zouden dus de Sharepoint-lokaties moeten staan, maar volgens mij heeft Microsoft liever dat er voor iedere werknemer een certificaat wordt aangeschaft waarmee documenten ondertekend moeten worden.

Het zelfde geld als je zelf macro's maakt, zowel in word, maar vooral in Excel. Vaak genoeg worden de macro's die je zelf gemaakt hebt de volgende keer dat je het bestand opent geblokkeerd. Zeker als op meerdere pc's aan een bestand verder werkt (bv op een desktop en op een laptop) of het bestand op meerdere pc's gebruikt loop je hier steeds weer tegenaan.

Uit frustratie hiermee zou je bijna 'Enable all macros (not recommended; potentially dangerous code can run' instellen. Dan nog krijg je steeds die meldingen bij ieder document dat je via mail, via een netwerkshare of via verwisselbare media binnenkrijgt.

En ondanks dat alles, wat je werk continu belemmert, komt malware er nog steeds door.
Het lijkt een makkelijk te voorkomen hack, als je een goede virusscanner, firewall en spammails tegen houdt, in de organisatie.

- de mail met trojan kan gescand worden op kwaadaardige bijlagen door spamfilter
- de bijlage kan gescand worden door de virusscanner op de pc
- de firewall kan het http download verzoek van het hta bestand tegenhouden
Virusscanner kent m dus nog maar net, firewall tussen je scanner en desktops is voor veel organisaties beetje overdreven. De spamfilter zal mails van de scanner doorgaans niet tegenhouden.
De e-mail doet net alsof hij vanaf een scanner afkomstig is. In werkelijkheid komt de e-mail dus gewoon 'van buiten de organisatie' en zou deze in ieder geval langs een spamfilter/virusscanner moeten gaan.
De meeste mailservers accepteren ook helemaal geen mail die zich voordoet als van binnen het domein zonder geldige login toch? Lijkt me een van de meest basale filters.
Ik vermoed dat het onderwerp voor velen al een reden is om de mail te openen - zonder dat er gekeken wordt naar de afzender.
En je gebruikers trainen, onze scanners sturen alleen PDF en nooit rtf. Alle andere extensies afkomstig van de printer weggooien lijkt me dan ook verstandig.
Ik vraag mij dus af of dit virus ook werkt onder OpenOffice / Libreoffice. Iemand een idee?
Het lijkt me niet dat deze specifieke kwetsbaarheid ook in Open/LibreOffice zit; Microsoft Word is andere software met andere code. Deze kwetsbaarheid maakt gebruik van hoe Word is in elkaar gezet en de kwetsbaarheden die Microsoft daarbij over het hoofd heeft gezien. Afgaande op het artikel zal het waarschijnlijk te maken hebben met de methode die MS Word gebruikt om bestanden te lezen/interpreteren. Ik neem aan dat Open/LibreOffice zijn eigen implementatie kent voor deze logica. In Open/LibreOffice zullen ook zat kwetsbaarheden zitten, maar waarschijnlijk niet deze specifieke exploit.

[Reactie gewijzigd door Laurens-R op 11 april 2017 09:31]

Het lek richt zich specifiek op MS Word, en de exploit is ook gericht op Windows.
Ik verwacht dus van niet.
De macro's in Word, en eigenlijk in alle MS Office-apps, worden geschreven in Visual Basic for Applications. Macro's in LibreOffice worden geschreven in BASIC, JavaScript of Python (en dan nog Beanshell geloof ik). Daarnaast zijn het compleet verschillende pakketten die alleen gelijkenissen vertonen in functionaliteit. Nee, het werkt niet onder OpenOffice/LibreOffice.

Edit: Niet goed gelezen.

[Reactie gewijzigd door Wodanford op 11 april 2017 09:54]

Behalve dat het dus niks met macros te maken heeft zoals in het bericht vermeld?
Of Google Docs heah, vergeet Google Docs niet.
Is Notepad ook kwetsbaar?
Nee. Macro's werken daar niet in.
Goeie vraag, bij mij worden .doc documenten door Libre geopend, .rtf door Notepad.
Succes met het uitvoeren van Macro's in Google Docs.
Denk je nu niet dat zoiets ook vermeld zou worden in het artikel ?
Net bezig met downloaden van een security fix voor Word via Windows Update.
hmm hier niet, staat er een kb nummer bij de update bij of een link naar het artikel ? zie ook niets bij de current channel releases bij office 2016,, laatste is van eind maart maar misschien worden die van april (nog) niet getoond ? https://technet.microsoft.com/nl-nl/office/mt465751
Ik kom hem niet tegen in de lijst met geÔnstalleerde updates... Vreemd, er stond tijdens het downloaden echter wel een security fix voor Word.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*