Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft dicht Word-lek dat aan basis stond van spamcampagne met bankingtrojan

Door , 29 reacties

Microsoft heeft dinsdag een fix uitgebracht waarmee een ernstig beveiligingslek in Word is gedicht. Een e-mailcampagne die maandag werd ontdekt, maakte gebruik van deze kwetsbaarheid, waarbij de bankingtrojan Dridex werd verspreid.

Microsoft heeft het Word-lek gedicht via een fix, die onderdeel is van de reguliere maandelijkse beveiligingsupdate die dinsdag uitkwam. Dat meldt ZDNet. Microsoft heeft bevestigd dat het via dit lek mogelijk is om malware te installeren op een systeem met de allerlaatste beveiligingsupdates. Aanvallers zouden volgens Microsoft de controle van het systeem kunnen overnemen, nieuwe programma's kunnen installeren en nieuwe accounts kunnen creëren met volledige gebruikersrechten.

Maandag waarschuwde beveiligingsbedrijf Proofpoint dat het de e-mailcampagne had ontdekt. De aanvallers maken daarbij gebruik van een lek in Microsoft Word, dat in het afgelopen weekend door onderzoekers naar buiten werd gebracht. De malware betreft de Dridex-trojan, die zich onder meer richt op het stelen van inloggegevens voor internetbankieren.

De spamcampagne was gericht aan miljoenen gebruikers en concentreerde zich op ondernemingen in Australië. De onderzoekers merken op dat de personen achter de campagne snel hebben gereageerd, omdat het Word-lek nog niet lang bekend is. Hiervoor werden veel slachtoffers met Dridex geïnfecteerd door het gebruik van Word-macro's.

De verstuurde e-mails zijn voorzien van een bijlage in de vorm van een rtf-bestand. De e-mail doet het voorkomen alsof hij afkomstig is van een apparaat binnen de organisatie van de ontvanger, bijvoorbeeld een scanner of een kopieerapparaat. Het onderwerp is dan ook 'scan data' en de bijlagen dragen namen als 'scan 12345', waarbij de getallen willekeurig zijn. Zodra het document wordt geopend, wordt de exploit uitgevoerd. Proofpoint merkt op dat dit tijdens tests gebeurde, hoewel er een bericht in Word 2010 opdook met de waarschuwing dat het bestand links naar andere bestanden bevat.

Het Word-lek in kwestie, dat het overnemen van een systeem mogelijk maakt, werd onlangs naar buiten gebracht door onderzoekers van beveiligingsbedrijf McAfee en later door FireEye. Het gaat om een ernstig lek, omdat een succesvolle exploit de beveiligingsmaatregelen van Windows omzeilt en niet vereist dat gebruikers macro's inschakelen in Word. Gebruikers wordt dan ook aangeraden om geen onbekende Word-bestanden te openen. De methode zou niet werken in combinatie met Protected View, dat daarom een belangrijke barrière vormt, mits het ingeschakeld is.

De aanval via Word-documenten werkt doordat het bestand een OLE2link-object bevat. Na het openen van het bestand haalt Word via een http-verzoek een kwaadaardig hta-bestand binnen, dat eruitziet als een rtf-bestand. Vervolgens wordt Word afgesloten om de eerdergenoemde waarschuwing te verbergen en krijgt het slachtoffer een nepdocument te zien.

Reacties (29)

Wijzig sortering
Een workaround voor de hta attack vector is het aanpassen van een registersleutel:
https://twitter.com/erikloman/status/852105423176052740
Niet het attachment opnen en daarna niet de protected view balk wegklikken ook :)

Als je bang bent voor domme gebruikers in bedirjfsomgevingen, kun je beter protected view voro email RTF bestanden verplicht maken vai policy of registry. De door jou voorgestelde registry key hack, maakt hta bestanden onbekend, hetgeen ook legtieme hta bestanden treft.
Maar ja, in protected view kan je niet eens een printje maken om daaraan rustig te kijken wat je met dat gekke bestand aanmoet... Dus klikt iedereen gelijk door naar de normale modus.

Boem, weg beveiliging...
Eens, maar de gebruiker heeft dan al 2 keer iets moeten doen. En bij de eerste klik al kunnen zien dat het betreffende document niet iets is waar ze op zaten te wachten.

Mijn punt is meer dat deze exploit dus niet zoiets is wat 'zomaar' gebeurd zonder gebruikers-interactie. Het is meer van de orde waar ik jou een zip-file stuur, en jij opent het om te kijken wat voor leuke app erin zit.
Maar... iemand bij inkoop/finance krijgt nu op een dag misschien wel 10 mails met "invoice bladiebla". Die print hij/zij uit om af te handelen. Daar hoeft maar 1x in de 1000 mails zo'n virus tussen te zitten, en je bent al 3x per jaar besmet. En herken ze dan maar eens op tijd, tussen de 'reguliere' facturen die verkeerd verzonden zijn of nergens op slaan.

Mijn punt is: waarom moet je om iets af te drukken al uit die veilige omgeving gaan? Hadden ze printen niet ook in de sandbox kunnen houden?
HTA blijft lokaal gewoon werken. Alleen het HTA MIME-type wordt geblokkeerd zodat mshta.exe niet wordt gestart zodra application/hta als Content-Type door webserver wordt gespecificeerd.

Waarom zou je uberhaupt HTA content van het internet op je computer willen spawnen? Je opent dan scripts die full control hebben op je systeem 8)7

Het beste is om de update te rollen maar bedrijven lopen vaak een tijdje achter met updates. Dan is de kleine registry patch een makkelijke aanpassing om te doen om het gat tussen nu en de uitrol van de update te overbruggen. Ga er maar van uit dat dit lek veel misbruikt gaat worden komende weken nu bekend is hoe makkelijk deze misbruikt kan worden.

[Reactie gewijzigd door erikloman op 13 april 2017 09:26]

Wat wordt er precies gepatched? Windows 10, of Office? Welke KB gaat 't om?

Ik gebruik nog een bejaarde, maar prima functionerende Office 2007, en vraag mij af of dat nog wel zo verstandig is.
https://portal.msrc.microsoft.com/en-US/eula -> en dan kan je filteren op OS en andere zaken. Voor jou geldt: Office 2007 SP3 en dan heb je automatisch KB3141529 nodig.

Vergeet even niet dat Office 2007 dit jaar uit Extended Support loopt; dat houdt in dat jij met jouw Office-pakket al in een grijs gebied zit qua security aangezien mainstream support, uit mijn hoofd, al in 2012 afgelopen is.

Daarnaast, maar dat is functioneel, zijn er meerdere issues bekend met Office 2007 waardoor je gemiddelde documenten / indelingen van Office 2013 en hoger al niet eens meer kan openen. Dat lijkt me sowieso wel lastig aangezien veel gemeenten/overheden ook Office-documenten verspreiden die jij mogelijk niet meer kan openen.
Alle documenten die verspreid worden ter informatie, en niet voor aanpassing, zou een PDF moeten zijn. Zeker vanuit gemeenten en overheden.

Er is ook nog van alles mis met Adobe software qua beveiliging, maar een Office document hoort niet thuis in het rijtje informatie bronnen.

Met een PDF los je ook het probleem van up/backwards compatibiliteit op, en het feit dat niet iedereen Office op zijn pc/tablet heeft staan.
Ben het met je eens dat bepaalde file-types niet altijd even handig zijn en dat verspreiding van bepaalde type informatie het liefste/beste op 1 manier zou gaan.

Desondanks is de implementatie van Adobe Software soms lastig maar ook daaraan zijn een aantal afhankelijkheden gekoppeld. Zo is er sprake geweest in 2016 waardoor een encapsulated JPEG2000-bestand in een PDF weer teruggreep in de OpenJPEG-library die in Chrome geleverd werd waardoor je bijvoorbeeld een redirection naar een malicious site kon forceren (inline). Voor de leek is dan het PDF-bestand geinfecteerd terwijl eigenlijk Chrome gebruikt maakt van compilation libraries die niet tijdig zijn geupdate.
Het is zaak om alle software up to date te houden, helaas is het voor de gemiddelde gebruiker erg lastig om dit alles bij te houden.
Laat staan voor de meer dan gemiddelde tweaker ;-)

Daarom ben ik het wel eens met de Win10 update cyclus, alleen niet hoe MS e.e.a. forceert doorvoert :-\
Maar dan hou je toch nog dit soort besmettingen.

"One can create a fool proof system, but there's always a bigger fool" ;-)
Het is onderdeel van een Windows security patch. Het lijkt erop dat er niet een losse KB voor is (niet dat ik die kon vinden). Ik zou inderdaad na gaan denken over een upgrade, danwel vervanging. Office 2007 bereikt in October 2017 zijn end-of-life. Dan komen er dus geen patches, fixes of wat dan ook meer voor uit.

edit: spelling en interpunktie

[Reactie gewijzigd door pepsiblik op 12 april 2017 09:10]

Nothing to see here; HTA-files zijn regelmatig terug te vinden in advisories van verschillende antivirus / antimalware bedrijven. Zo is Zepto maandenlang besproken op tientallen sites omdat er ook gebruik werd gemaakt van HTA-files waarin weer code werd aangeroepen.

HTA-files kunnen inderdaad via een Word-document worden verspreid maar er zijn ook cases bekend waar een HTA werd gebruikt om een fake Chrome update aan te bieden waarna Notepad werd gestart (op Windows machines).

Goed om te lezen dat Microsoft in dit geval snel heeft gereageerd en een snelle patch heeft uitgebracht; neemt niet weg dat in dit geval de mail-client, zoals een Outlook, Thunderbird of zelfs een web-client eigenlijk beveiligd had moeten zijn met een goede scanner om de code van de attachment te scannen op de vreemde http-requests.
neemt niet weg dat in dit geval de mail-client, zoals een Outlook, Thunderbird of zelfs een web-client eigenlijk beveiligd had moeten zijn met een goede scanner om de code van de attachment te scannen op de vreemde http-requests.

Eens.

Merk verder op dat default een Office/Outl;ook installatie NIET vatbaar is voor deze aanval. Dat element is niet goed belicht geraakt. Om een PC te besmetten moet een gebruiker twee acties obdernemen: 1) het attachment openen en 2) de protected view bar die bovenin het document verschijnt uitschakelen.

Nu zijn er zat mensen die inderdaad blind doorklikken, maar zonder dubbele gebruikers-interactie raak(te) je dus niet besmet.

En inderdaad daarna is er een grote kans dat Windows Defebnder of een ander anti-malware de zaak tegenhoud. Niet bij de eerste ronde van slachtoffers, maar wel kort daarna zodra de aanval opgemerkt is en de betreffende hta-hashes zich razensnel verspreiden via de definitie updates.
Zit dit in allee Word versies? En welke worden aangepast?
Ik denk dat dit voor alle versies van Microsoft Word geld. Als het voor een bepaalde versie was, was dit wel aangegeven in het artikel of in het originele artikel (van ProofPoint). Aangezien zij daar Word 2016 (?) gebruiken en die dus het meest up-to-date is, lijkt het mij dat het lek zich in alle versies bevond.
De oudste verie die wordt aangepast is Office 2007 SP3. Er worden dus vier generaties van Office gepatcht.
Ik denk dat het gaat om de volgende KB items: KB3141538 en KB2589382
Dat verklaart in elk geval de ' Have you bill is ready, pay 235 pounds' email met attachment van Vodafone recentelijk. :+ Van de bekende klantdesk-medewerker 'web137126p1@'
HTA, nog zoiets wat verbannen moet worden...
Maar web applicaties zijn de toekomst!
Ik vraag mij af of dit ook lukt als de gebruiker total geen LA rechten heeft zoals bij ons... Zelfs wij als beheerders hebben geen local admin rechten. Dus een account maken zit er niet in. Ik zal straks wel onze WSUS beheerder eens vragen de bewuste update versneld goed te keuren.
Opmerkelijk dat deze zero day werd gebruikt om banking trojans te installeren, want hij is veel geld waard op de zwarte markt. Ook inlichtingendiensten zouden hier veel geld voor over hebben.

Ik vermoed dat ze zero day al eerder aan inlichtingendiensten hebben verkocht maar nu besloten hebben om het zelf ook maar te gaan gebruiken.
Ik zie nu ook een update langskomen voor Word 2016 for Mac.
Fijn dat het ook daar wordt gepatched. Ik heb Office for mac 2016 ook ge´nstalleerd staan omdat sommige documenten gewoon niet met Pages werken (als er bijvoorbeeld formulieren in zitten), maar ik gebruik het eigenlijk nooit omdat het echt een brak suite programmas is. Zo jammer dat nog weer slechter is geworden dan office 2011 (dat werkte namelijk wel goed en snel).

Ik snap dat dus echt niet, want het is daardoor niet aantrekkelijk om over te stappen als dat je enige indruk is van Microsoft producten. Excel mist bijvoorbeeld ontzettend veel functionaliteiten (custom entry labels voor charts bijvoorbeeld)
Ik vind Office 2016 wel beter dan 2011 (en zeker beter dan iWork, muv Keynote), maar het mist inderdaad aardig wat functionaliteit. De eerste versies waren behoorlijk instabiel, maar er komen een karrevracht updates uit (elke maand wel twee) en de boel crasht nooit meer.

Wat Excel betreft, vrijwel alle 3rd party plugins zijn Windows-only, en de connectivity naar databases is veel beperkter (geen Azure Tables bv). De VBA editor is ook niet veel meer een veredeld kladblok dan een IDE, development moet je echt doen op een Windows machine.

Benieuwd of ze ooit de boel feature-equivalent krijgen. Veel van de geavanceerde functionaliteit haakt toch in op het OS-level.

[Reactie gewijzigd door Dreamvoid op 12 april 2017 11:41]

De VBA editor werkt bij niet eens. Ik kan geen code invoeren (lijkt een overlay overheen te liggen waardoor het invoerveld 5px breed is) en dus niet customisen in de editor zelf. Moet ik kladblok weer voor gebruiken.

Office 2011 was een stuk stabieler in dat opzicht. Daar werkten de dingen die er in zaten gewoon.

Ik heb voor mijn afstudeerstage een aantal excelbladen en grafieken moeten maken, mar dit was bijna niet te doen zonde die labels. Daarnaast renderd excel de grafieken on the fly. Erg leuk voor performance als je dan een placeholder image gebruikt als je scrollt. Heel verlend dat die olaceholder dezelfde kleur heeft als je achtergrond en je dit niet verwacht. Dan blijf je er langs scrollen.

Nou is numbers een veredelde workspace waar je gewoon tabellen in flikkert over elkaar heen dus schiet niet echt op ofzo, maar pages werkt vele malen sneller en stabieler dan Word. Ik draai de laatste versie op el capitan, maar heb nog steeds om de haverklap crashes. Kan ik weer 10 documenten gaan openen waar mn resources in staan. Super irritant dat ze dat niet voor elkaar kunnen krijgen.

Tegenwoordig schrijf ik mijn teksten dus in pages en kijk ik daarna wel of afbeeldingen en lay-out kloppen.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*