Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nieuwe Microsoft-patchronde dicht Office-lek dat uitvoeren van code toelaat

Microsoft heeft in zijn nieuwe patchronde, oftewel Patch Tuesday, in totaal 53 kwetsbaarheden verholpen, waarvan 25 rce-lekken. Daaronder is een lek in Office, dat aanwezig is in de zogenaamde equation editor.

Het lek in kwestie, met kenmerk CVE-2017-11882, maakt het volgens Microsoft mogelijk om op afstand code uit te voeren door de manier waarop Office omgaat met geheugenobjecten. Als de gebruiker van het kwetsbare systeem een beheerder is, kan een aanvaller het overnemen. Een aanval is uit te voeren met behulp van een kwaadaardig bestand dat is gemaakt in Office of WordPad. Microsoft noemt de mogelijkheid dat een aanvaller het bestand bijvoorbeeld via een link in een e-mail bij een doelwit krijgt. Er zou momenteel geen actief misbruik van het lek plaatsvinden.

Beveiligingsbedrijf Embedi, dat de kwetsbaarheid ontdekte, heeft een blogpost en een rapport aan de analyse ervan gewijd. Het bedrijf bekeek verouderde onderdelen van Microsoft Office, waaronder de equation editor voor het bewerken van vergelijkingen in documenten. De tool had een functie in Office 2000 en 2003, en is eigenlijk achterhaald in nieuwere versies van de software.

Toch bleef de tool aanwezig om compatibiliteitsredenen, aldus Embedi. Onderzoekers kwamen erachter dat het mogelijk was om een buffer overflow teweeg te brengen en zo tot code execution te komen. Gebruik van het lek vereiste alleen dat het doelwit een bepaald bestand opende. Volgens Embedi werkt de aanval op alle Office-versies en alle Windows-versies tot aan de Creators Update. Protected View beschermt tegen deze methode, die werkt via OLE-objecten.

Beveiligingsbedrijf Qualys schrijft in zijn analyse van de updates dat Microsoft deze maand geen actief aangevallen lekken heeft gedicht en dat het geen van de kwetsbaarheden voor Windows als kritiek heeft aangemerkt. Alle gedichte kwetsbaarheden zijn op de desbetreffende Microsoft-pagina te vinden. Adobe bracht eveneens een groot aantal patches uit.

Door Sander van Voorst

Nieuwsredacteur

15-11-2017 • 10:17

33 Linkedin Google+

Reacties (33)

Wijzig sortering
Wat ik niet helemaal begrijp is dat Microsoft het bewerken van een bestand niet toestaat in protected view. Wat je zou willen is gewoon de mogelijkheid om alles met een Word document te doen, alleen macro's en/of OLE en/of DDE te blokkeren. Ja, dan zit je mogelijkerwijs te werken in een bestand waarvan een deel (macro's e.d.) niet uitgevoerd worden, waardoor het er heel gek uit komt te zien; ik denk dat je dan de macro's e.d. automatisch moet verwijderen wanneer iemand zo'n bestand gaat bewerken. Maar daar kun je een waarschuwing bij zetten, en de optie om de macro's e.d. alsnog aan te zetten.

Mijn punt is dat de mogelijkheid tot bewerken en macro's e.d. toestaan los van elkaar zouden moeten staan in de standaard-prompt. (Dat kan vast wel via een of andere ingewikkelde registersleutel, maar het zou gewoon moeten kunnen d.m.v. een standaardprompt.)

[Reactie gewijzigd door Cerberus_tm op 15 november 2017 16:29]

Wat je zou willen is gewoon de mogelijkheid om alles met een Word document te doen, alleen macro's en/of OLE en/of DDE te blokkeren. [....]
Maar daar kun je een waarschuwing bij zetten, en de optie om de macro's e.d. alsnog aan te zetten.
Je kan dat voor een groot deel al instellen in de Options pane, maar voor zakelijk gebruik ook via Group Policies.
Helaas geldt voor al deze mogelijkheden dat je een afweging moet maken tussen beveiliging en gebruiksgemak. Er zit een 'disable macro' instelling in, en indien nodig kan je door 1 klik die ook weer aanzetten in het document. Drie keer raden wat de gemiddelde gebruiker doet bij een 'invoice_2893302.docx' in z'n Gmail....
Ja, maar dan moet je dat permanent blokkeren. Of het elke keer terugzetten als je klaar bent met een document dat iemand je geŽmaild hebt, alvorens je weer de veilige documenten met macro's van je eigen hand kunt bewerken. Er is geen reden waarom bewerken en dynamische inhoud niet gescheiden permissies zouden kunnen zijn. Als je een document van een collega krijgt waarvan je weet dat er geen dynamische inhoud in zou moeten staan, en je moet dat bewerken, dan wil je gewoon met 1 druk op de knop de mogelijkheid hebben om dat te bewerken zonder de dynamische inhoud te laden (die wordt dan gestript uit het document, met een waarschuwing).
Wat ik niet helemaal begrijp is dat Microsoft het bewerken van een bestand niet toestaat in protected view.

Het bewerken vereist het activeren van macro's en plugins. Je kunt niet een document bewerken, als de inhoud zelf dynamisch gegenereerd wordt of zelfs een OLE-object is. In dit geval is het externe object, een wiskundige vergelijking gegenegeerd door een plugin.

Je kunt echter Word configureren dat dit soort zaken nooit toegestaan zijn, maar dan werken veel geavanceerde features niet. De verwarring komt omdat jij en ik waarschijnlijk Word enkel gebruiken om een document te schrijven. Maar in de bedrijfswereld is Word veel en veel meer dan dat.

[Reactie gewijzigd door Armin op 15 november 2017 20:13]

Dat weet ik allemaal. Maar je kunt toch wel een document bewerken waar alle dynamische inhoud van uit staat of eruit gestript is. Dat is technisch gewoon mogelijk. En dan kan iemand die een document ontvangt het gewoon veilig bewerken zonder bang te zijn. Als er belangrijke dynamische inhoud in staat, zal het document nauwelijks nog nuttig of bruikbaar zijn, maar dat is niet erg. Daar toon je dan een waarschuwing voor. Dan heb je de keuze.

Zoals het nu is kun je zo'n document helemaal niet bewerken, ook niet als het b.v. een goed, nuttig document is waar toevallig een virus op iemands computer kwaadaardige dynamische inhoud bij ingestopt heeft alvorens het naar jou te sturen.
Maar je kunt toch wel een document bewerken waar alle dynamische inhoud van uit staat of eruit gestript is. Dat is technisch gewoon mogelijk.

Dat is technisch inderdaad gewoon mogelijk, en ook in te stellen.

Het probleem is dat wat jij "bewerken" noemt heel erg beperkt is. Wat jij bewerken noemt is maar een hele kleine subset van Word. Alle dynamische content zal niet werken/zichtbaar zijn. Ook zul je je bewerkingen enkel kunnen uitvoeren op zaken als text, maar niet op OLE objecten, zoals wiskundige vergelijkingen, bepaalde plaatjes, ingevoegde tabellen met een externe bron (zoals Excel), etc.

In de praktijk gaan mensen zeuren omdat er van alles "niet werkt" als Microsoft default deze extra features zou uitzetten.

Zoals het nu is kun je zo'n document helemaal niet bewerken

Nee, zoals het nu is zal op een desktop je document gewoon openen en waarschuwen dat het van een externe lokatie komt. Als je die waarschuwing negeert, (hetgeen nodig is voor deze exploit) en het dan opent zal Word alle plugins proberen te laden, en kun je het bewerken.

Open je het bestand op een Word editor die restricties heeft - zoals op Windows 10 Mobile - zal het document openen in beperkte modus en kun je text zien en bewerken, maar zijn de geavanceerde functies soms niet zichtbaar en ook niet te bewerken. Andere varianten van deze beperkte editors zijn de web-versie van Word zoals in sharepoint bestaat. Open maar eens een Word document in zo'n editor en je snapt meteen waarom de meeste mensen dat onacceptabel zouden vinden.

Open je het bestand in een Word editor die in principe geen restricties heeft, maar via policy editors aangezet zijn, of ontbreken bepaalde plugins op jouw PC, zal een soortgelijk iets plaatsvinden als op de beperkte editors. Dat kan dus, maar wil het gros van de mensen niet.
In de praktijk gaan mensen zeuren omdat er van alles "niet werkt" als Microsoft default deze extra features zou uitzetten.
Ik weet hoe het werkt, ik had me allang ingelezen. Daar kun je dus een waarschuwing voor neerzetten.
Als je die waarschuwing negeert, (hetgeen nodig is voor deze exploit) en het dan opent zal Word alle plugins proberen te laden, en kun je het bewerken.
Dit is dus precies zoals ik het wil zien: zoals het nu is kun je het document helemaal niet bewerken, als je je niet wilt blootstellen aan OLE. Dat is dus wat ik slecht vind. Het kan alleen als je OLE permanent uitzet. Maar dan moet je dat telkens weer opnieuw in de instellingen aanzetten voor die keren dat je wel OLE wilt gebruiken in een document. En als je het vergeet uit te zetten, en daarna een ander bestand wilt bewerken, stel je je per ongeluk weer bloot aan OLE. Echt heel onhandig en een extra beveiligingsrisico.
Open je het bestand op een Word editor die restricties heeft - zoals op Windows 10 Mobile - zal het document openen in beperkte modus en kun je text zien en bewerken, maar zijn de geavanceerde functies soms niet zichtbaar en ook niet te bewerken.
Dit is dus precies wat mogelijk moet zijn. Mensen moeten de keuze hebben om een document beperkt (zonder OLE, macro's, DDE) te bewerken. Met waarschuwing dat je ook OLE e.d. moet toestaan als je zonder restricties wilt bewerken. Wat dus voor het gros van de mensen juist helemaal niet nodig is: die hebben gewoon een Word-document of Excel-bestand met enkel tekst/data, zonder OLE e.d. En die mensen staan dan niet bloot aan de risico's wanneer ze willen bewerken.
Dit is dus precies zoals ik het wil zien: zoals het nu is kun je het document helemaal niet bewerken, als je je niet wilt blootstellen aan OLE

Dat is dus onjuist.

Als je "bewerken" definieert als enkel text en andere beperkte zaken kan dat dus wel. Default staat het echter niet zo ingesteld.

Als je "bewerken" ziet als volledig bewerken, kan dat inderdaad per definitie niet, aangezien de geavanceerde content de plugins vereist. Die plugins zijn namelijk de inhoud.

Wat dus voor het gros van de mensen juist helemaal niet nodig is: die hebben gewoon een Word-document of Excel-bestand met enkel tekst/data, zonder OLE e.d. En die mensen staan dan niet bloot aan de risico's wanneer ze willen bewerken

Als je dat wilt kun je gewoon WordPad gebruiken en ben je veilig. Word zonder die geavanceerde features is immers niet meer dan dat. Ook kun je de default Word-viewer in Outlook gebruiken, al het enkel gaat om lezen.

Punt is echter nu net dat het gros van de mensen die Word dagelijks gebruiken wel degelijk die geavanceerde content nodig hebben. Word wordt zelfden enkel gebruikt voor wat text.
Dat is dus onjuist.
Nee, het gaat mij om bewerken terwijl je niet permanent OLE e.d. hoeft uit te zetten. Dat heb ik daarna dacht ik heel helder uitgelegd. En dat kan dus niet.
Als je dat wilt kun je gewoon WordPad gebruiken...
Nee, met Wordpad kun je heel veel dingen niet doen die niets met OLE e.d. te maken hebben. Dat is geen oplossing. Om van de viewer in Outlook nog maar niet te spreken.
Punt is echter nu net dat het gros van de mensen die Word dagelijks gebruiken wel degelijk die geavanceerde content nodig hebben.
Dat is echt niet zo. Iedereen die ik ken gebruikt Word regelmatig, en heel velen van hen gebruiken OLE niet in heel veel documenten die ze van buiten binnenkrijgen. Heel veel mensen kunnen gewoon OLE aan hebben staan voor bepaalde documenten die zijzelf of hun bedrijf gemaakt heeft, en de OLE-permissie verder steeds afwijzen voor documenten die ze per e-mail e.d. binnenkrijgen of downloaden. Alleen kan dat laatste dus niet (behalve in beperkte mate in Office 2016).

Er is echt geen enkele reden waarom je mensen niet de keuze zou kunnen geven! Zoals gezegd, bewerken zonder OLE moet mogelijk zijn zonder permanent een instelling om te moeten zetten, als je er gewoon een waarschuwing bij zet.
Vandaar mijn opmerking:
"Er zit een 'disable macro' instelling in, en indien nodig kan je door 1 klik die ook weer aanzetten in het document [omdat ie daarop prompt].
Drie keer raden wat de gemiddelde gebruiker doet bij een 'invoice_2893302.docx' in z'n Gmail...."
Het is goed mogelijk dat sommige gebruikers die alsnog aanzetten als het document daar expliciet om vraagt. Maar als het gaat om een document van een bekende die ze afgezien van een waarschuwing gewoon zouden kunnen bewerken, maar waar een virus wel een kwaadaardig ding ingestopt heeft, dan zou het fijn zijn als ze niet gedwongen worden om dat ding toe staan als ze het document willen bewerken. Dan heb ik het dus niet over een onzin-bestand dat oorspronkelijk is gemaakt door een kwaadwillend persoon, maar door een legitiem document dat is besmet.
In welke situatie zou je een document willen bewerken waarvan je de dynamische inhoud niet vertrouwt?
Wanneer ik niet weet of ik een document kan vertrouwen is het enkel bekijken ervan het verste dat ik ermee wil gaan.
Stel, een collega stuurt je een document waar jij nog wat ik moet aanpassen. Hoe weet jij dat zijn computer geen virus bevat dat het document geÔnfecteerd heeft? Je wilt gewoon het document kunnen aanpassen zonder daar bang voor te hoeven zijn. Idem voor als je nichtje je een Excel-bestand stuurt met adressen van familieleden waar je wat aan toe moet voegen. Etc.
Je wilt gewoon het document kunnen aanpassen zonder daar bang voor te hoeven zijn.

Als je echt bang bent, kun je het gewoon in de opties uitzetten.

Opties -> Trust Center Settings -> sectie macro en sectie Add-ins.

Wel niet mopperen als opeens van alles niet werkt. 8-)

Maar zoals gezegd, als je document zo ontzettend simpel is, kun je ook gewoon Wordpad gebruiken voor de edit.
Nee dus, je wilt niet elke keer in de instellingen moeten graven. Dat is nou de hele tijd mijn punt. Dat moet middels een waarschuwing gaan o.i.d. En Wordpad kan veel te weinig.
Nee dus, je wilt niet elke keer in de instellingen moeten graven. Dat is nou de hele tijd mijn punt. Dat moet middels een waarschuwing gaan o.i.d.

Dus omdat jij dat wilt, moeten al die miljoenen andere gebruikers elke keer als ze een document van hun eigen harde schijf openen, een waarschuwing wegklikken? O-)

Ik weet al wat mensen gaan doen: die waarschuwing zo snel mogelijk uitzetten.

En Wordpad kan veel te weinig.

Word zonder die OLE etc is nu net niet veel meer dan WordPad. Dus je spreekt jezelf tegen. Als WordPad niet voldoende is voor jou om te "bewerken", dan zal Word in die nieuwe modus dat ook niet zijn.
Pas eens het zgn. principle of charity toe en probeer een redelijke, voor de hand liggende oplossing te bedenken voor elk probleempje dat bedacht kan worden. Als in, "natuurlijk doe je dan gewoon x".
Ook Microsoft Word 2016 for Mac heeft een update, naar 15.40.0 (17110800).

Enigszins onduidelijk wat er allemaal opgelost is.
Een snelle Google leert mij dat er ook een Equation Editor in Word for Mac zit maar als het niet vermeldt wordt dan zal die wel niet kwetsbaar zijn.
Klopt inderdaad, geheel Office 365 werd vanmorgen bij mij geŁpdatet op mijn Mac. Bijna gelijkertijd werd ook de iOS versie van Word, Excel en PowerPoint geŁpdatet.
was eigenlijk achterhaald in oudere versies van de software.
het lijkt me dat dit juist in nieuwere versies achterhaald zou zijn ? geen idee of het een typfoutje is of niet, daarom dat ik het hier zet ipv op het forum
Na deze update krijg ik constant een licentiefout, en dus niet meer bruikbaar. Maanden nergens last van gehad en nu dit.
Genoeg office alternatieven, alleen jammer dat de onderwijsinstelling helemaal gericht is op Microsoft Office.
Had daar ook last van.
Mijn Office 2016 pro opnieuw geactiveerd en het werkt weer. :)
Toevallig heb ik dat meerdere malen gedaan, tevens heb ik even snel mijn Malwarebytes uitgeschakeld en verwijderd. Hopelijk werkt deze 3e herinstallatie van Office nu wel ;)
Ik heb alleen de activatie opnieuw gedaan. Niet een herinstallatie van Office.
Ik heb een licentie van school. Kan via de office 365 portal office 2016 downloaden. Office logt gelijk in met het correcte schoolaccount waar een licentie aan gekoppeld zit. Maar alsnog krijg ik een foutmelding.

Ikzelf heb geen activeringscode namelijk. Dus zal ik het via school moeten doen.
Telefonische activatie misschien?
Dat zou eventueel kunnen. In iedergeval ga ik contact opnemen met de ICT-afdeling van dr school. Mocht dat niet baten bel ik naar Microsoft.

Grappig datik nu pas merkt hoe erg ik afhankelijk bent van Office. 8)7
En jij bent de beheerder daar? Al een aantal jaren kan je gewoon telefonisch contact opnemen met Microsoft. Als je een legitieme licentie hebt snap ik je uitspraak niet helemaal.
Via mijn hogeschool krijgen wij als student zijnde gratis een office 365 licentie gedurende de periode dat je op die school ingeschreven staat.

Kortom, ik zal je advies opvolgen en contact opnemen met Microsoft.
Hier deze ochtend binnen gekregen op 2 computers met Office 2016 Pro :) Versie 1710 ( build 8625.2127 )

[Reactie gewijzigd door VECTOR op 15 november 2017 11:32]

verkeerd geplaatst

[Reactie gewijzigd door Euronitwit op 15 november 2017 13:50]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True