Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties
Bron: Ms Security Response Center, submitter: Ateq

Beveiligingsexperts van Microsoft hebben op het weblog van het Security Response Center te kennen gegeven dat er een lek is ontdekt in het spreadsheetprogramma Excel. Het heeft niet alleen de 'Extremely critical'-classificatie gekregen van Secunia, er is ook al een geval bekend waarin de kwetsbaarheid benut is in een criminele aanslag op gebruikersgegevens. Daarom kan men dan ook wel spreken van de ontdekking van een 'zero-day exploit', een term die gebruikt wordt voor kwetsbaarheden die nog niet zijn ontdekt door computerbeveiligingsexperts, maar al wel gebruikt worden door kwaadwillende hackers. Om het lek in Excel uit te buiten, moet er een speciaal spreadsheetbestand worden gemaakt en doorgestuurd naar het doelwit. Na het openen van het bestand kan door een fout binnen de software ingevoegde code worden uitgevoerd en zo toegang tot het doelsysteem worden verkregen.

Trojan HorseVolgens Symantec zijn er al schadelijke Excel-bestanden opgedoken met de naam 'okN.xls', die het trojaanse paard 'Mdropper.J' en een programma met de naam 'Booli.A' bevatten. Deze kunnen gebruikt worden om extra bestanden naar een ge´nfecteerde pc te uploaden. Gezien het feit dat Microsoft niet snel zal afwijken van zijn periodieke patchdagen, is het volgens beveiligingexperts niet verwonderlijk dat dit lek vrijwel direct na 'Patch Tuesday' bekend is geworden. Nu kunnen de hackers rustig hun gang gaan tot de volgende uitgifte van allerhande patches, die pas weer over een maand zal gaan plaatsvinden. Overigens is Windows Live Safety Center al wel uitgerust met de capaciteit om eventuele kwaadaardige Excel-bestanden op te sporen. Toen enige tijd geleden een soortgelijk lek in Word aan het licht kwam, was Microsofts reactie dat gebruikers extra waakzaam moesten zijn totdat het lek gedicht werd met de beveiligingsupdates die afgelopen dinsdag door het softwarebedrijf de wereld zijn ingestuurd.

Moderatie-faq Wijzig weergave

Reacties (33)

* Zit rustig achter OpenOffice

Geen nieuws voor mij. Office wordt vaak in gietervorm uitgegeven. Met de Franse slag dus. Daarom vindt ik dat ik goede redenen heb tegenover anderen om OpenOffice te draaien. OpenOffice is minder bekend en het ODF formaat is nog vrij nieuw=weinig virussen en exploits.
OOo is compatibel met MS Office.Een geinfecteerd (MS) bestand zal hetzelfde teweeg brengen op je home directory. Aangezien je data-bestanden hierop worden opgeslagen zijn deze dus ook gewoon doelwit. (Virus wordt uitgevoerd onder user/inlog account, dus je files, lees: documenten. etc zijn ook vatbaar hiervoor)
OOo kan Ms office bestanden INLEZEN, deze exploit zal dus niet werken op OOo, net zo goed als een exploit voor Office 97 niet hoeft te werken in Office 2003, het zijn gewoon andere softwarepakketten die toevallig dezelfde bestanden in kunnen lezen (al zal bij Office veel code etc. hergebruikt zijn natuurlijk)
Een nadeel hiervan is natuurlijk wel dat je importfouten kunt hebben in OOo, maar dat kan je ook hebben als je in office 2000+ een pre-office 2000 bestand inleest (dacht dat ze in Office 2000 naar een nieuwe reversie van de .doc, .xls etc bestanden waren gegaan)
Het ligt er aan of dezelfde fout in het macro gedeelte van MS office ook in het macro gedeelte van OOo zit. Zit die fout niet in OOo dan zal de exploit zeker niet werken op OOo.

Zit de fout ook in OOo dan is er een kans dat de exploit wel werkt. Als de fout bijvoorbeeld een buffer overflow is is de kans dat de exploit werkt echter zeer klein.
Macros kunnen wel degelijk worden uitgevoerd onder OOo. Deze kunnen wel degelijk SCHRIJVEN onder OOo. Weet ik 100% zeker. Natuurlijk kun je dit ondervangen als je het beveiligingsnivo van het uitvoeren van macros op HOOG hebt ingesteld, maar dit geldt ook voor MS Office.
Inderdaad The Noid. Zo is het. Daarom ben ik eigenlijk best wel benieuwd hiernaar. Wellicht/hopelijk wordt dit de komdende tijd duidelijk.
En je hoeft niet te betalen om angevallen te kunnen worden, simpelweg gratis viligheid.
weinig virussen en exploits
Zeg maar gerust geen. Er was laatst wel een proof-of-concept voor StarOffice, maar die zat ook in een oud StarOffice bestand geplakt. Scheen dat die het niet direct in OOo deed.
weer zo iemand die de indruk wekt dat OS zo veilig is.
"Nu kunnen de hackers rustig hun gang gaan tot de volgende uitgifte van allerhande patches, die pas weer over een maand zal gaan plaatsvinden."

Daddis iet joeng!!! (sorry voor het platte vlaamsch.)

* Extremely critical
* Zero-day exploit

Meer dan reden genoeg om is heel misschien een poging te ondernemen om zo te trachten om eventueel met de intentie naar boven te komen om eens iets goed te doen door eens vroeger met een patch te komen, om zo enigzins niet verder in achting te dalen...

...

Maar nee...


ALS dit dan al in de media komt zal het nog onder de volgende titel zijn:
"MS zal al bij volgende periodieke patchdag met een oplossing komen!"
ipv:
"MS doet geen enkele extra moeite om een zeer kritieke beveiligingsfout op te lossen."
De gebruiker thuis krijgt enkel het eerste o zo objectieve nieuws te horen en denkt: "Woow, dan al?!?! Ze doen daar toch hun best hoor, om de arme onwetende burger zo te beschermen!"

Miserie...

EDIT:
Om maar te zwijgen over de mogelijkheid dat MS van de tactiek gebruik maakt om gewoonweg niet over de exploit te praten, wie niet weet niet deert... Goed mogelijk dat dit 'agendapuntje' al een hele periode op het lijstje "Lets just hope it doesn't get public" stond dat als memo in de toiletten van hun kantoren hangt.

Sorry... Kon het niet helpen negatief te zijn...
Een ik-heb-een-kort-geheugen-hotfix, kunnen ze dat dan ook met de volgende patchronde meenemen? :P

Bij de wmf-exploit begin dit jaar weken ze uiteindelijk ook af van het reguliere schema
Nja, dat is helemaal waar.
Het was echter wel een andere situatie: klik
"Voor Redmond was dat reden genoeg om terug te komen op het oorspronkelijke besluit om het lek pas volgende week dinsdag te repareren."

Het was toen al gepland om een paar dagen later een patchronde te houden. De andere patches die ze dan ook wilden uitbrengen, zullen dus wel al klaargelegen hebben, zodat het voor Redmond niet zoveel uitmaakte.

Nu gaat het echter over een kleine maand ipv een aantal dagen...
moet je wel zo'n excel bestandje krijgen en dan ook nog openen.
Overigens is Windows Live Safety Center al wel uitgerust met de capaciteit om eventuele kwaadaardige Excel-bestanden op te sporen.
sure:
http://safety.live.com/utility/site/default_ServerError.htm
Dat kun je soms hebben dat een site niet beschikbaar is, momenteel lijkt alles het probleemloos te doen. Het NL gedeelte (voor zover dat al een appart gedeelte zou zijn) werkt (of doet het in elk geval).

Tis in elk geval voorbarig om een conclusie te verbinden aan het niet beschikbaar zijn van de site.
mooi dat ze et nu 'al' ontdekt hebben, maar voor zulke fouten moeten ze direct updaten vind ik
Alsof alle Officegebruikers iedere dag checken voor updates?
Ik ben sowieso erg voorzichtig met dit soort bestanden; De meeste "leuke" Powerpointpresentaties haal ik niet eens van de mailserver en Word of Excel-bestanden accepteer ik alleen van zeer vertrouwde afzenders (op de vingers van 1 hand te tellen en eigenlijk alleen zakelijk).
Verder denk ik dat je het proces van patchen en checken wat onderschat. Als MS door een snelle patch tienduizende onbesmette bestanden onbruikbaar maakt ofzo, zijn de rapen pas echt gaar... En het zal niet de eerste keer zijn dat een patch weer een nieuw probleem introduceert. Nee, wat jij wilt is onrealistisch vrees ik.
Patch tuesday is er gekomen om de tijd tussen bekendmaken van een patch en het patchen te verkleinen. Veelal worden dingen die nog niet actief misbruikt worden, gepatched. Als de patch bekendgemaakt wordt, gaan hackers meteen op zoek naar het specifieke lek dat gedicht wordt, en maken ze er gebruik van op ongepatchte systemen. Daarom is patch Tuesday er gekomen.
Hier ZIJN echter al exploits voor, die actief gebruikt worden. Het lek is al bekend, en er moet dus meteen een patch komen.

OK, QA is belangrijk. Maar dat zou in 3 weken toch wel moeten lukken? Da's 1 week minder kans op een infectie.
Office 2003 wordt geupdate vanuit de centrale updatesite van Microsoft.

De meeste computers die bij problemen tegenkomen, waaraan tweakers vervolgens onderhoud plegen ...o.a. het draaien van XP updates..., zijn dus veilig, is mijn vermoeden.
Dat gaat nogal moeilijk:
Daarom kan men dan ook wel spreken van een 'zero-day exploit', een term die gebruikt wordt voor kwetsbaarheden die nog niet zijn ontdekt door computerbeveiligingsexperts, maar al wel gebruikt worden door kwaadwillende hackers.
EDIT: wat is hier overbodig aan? ze kunnen toch niet direct een patch maken als ze niet weten waar de fout zit.
EDIT: wat is hier overbodig aan? ze kunnen toch niet direct een patch maken als ze niet weten waar de fout zit.
Symantec heeft de bestanden toch al? Dan is het vinden van de fout redelijk simpel.
Fijn, die standaard Tweakers MS bashing.

Kan iemand me vertellen waar er staat dat Microsoft wacht tot het patch tuesday voordat ze het fixen?

Juist, dat staat dus nergens. Het is nog niet bekend of er al een fix is, en ook niet bekend of Microsoft specifiek zou wachten. Dat is allemaal maar een gerucht wat een 'veiligheidsexpert' verspreid.

Pure FUD dus. Waren zeker teveel aardige MS berichten op Tweakers geweest de afgelopen week. :r
@AHBdV

Nee jij hebt duidelijk veel kennis van MS. Als je enig verstand van zaken had weet je dat MS normaliter alleen patches released op patch tuesday en hier alleen ZEER exceptioneel van afwijkt. Iets wat het merendeel van de bezoekers hier wel weet.

@Floor

Virusscanners kunnen vaak niks tegen de exploit zelf doen. Alleen het virus stoppen als het eenmaal binnen is. Nou crashed excel bij deze exploit waarschijnlijk niet, maar soms kan het toch aardig wat kwaad... Neem bijv. de DCOM exploit. Deze crashed een service en het systeem zal binnen 60 seconden opnieuw opstarten daarna, of je dat nou leuk vind of niet. Derhalve kun je al je onopslagen werk kwijt zijn, om maar wat te noemen.
Niet juist, bijv. symantec check het attachement op de code die aangeroepen wordt en voorkomt dus het openen van het excel bestand.
Met een goede virusscanner loop je dus geen enkel gevaar!
Al eens bij stilgestaan dat de meeste MS bashing ontstaat uit het feit dat het verleden ons al vaak geleerd heeft dat MS vaak weinig of niks doet aan flagrante problemen ?
Sjezus, iets met verkeerde been?

Het is maar wat je bashing noemt....
On topic:

Overigens, wanneer je de office beveiligingsniveau op hoog hebt staan kan er al volgens mij al minder snel wat gebeuren. Wanneer je een goede virusscanner i.c.m. firewall draait dan kan er naar mijn mening nog minder mis gaan.
Als je de nieuwspost leest dan zie je dat bij een soortgelijk probleem in Word MS niets heeft gedaan om het probleem sneller op te lossen dan binnen een maand en alleen een advies gegeven heeft om 'extra waakzaam' te zijn.

Gezien deze reactie en geen andere is het niet onlogisch om te verwachten dat de reactie van MS weer hetzelfde zal zijn. Dat heeft weinig te maken met bashen, maar alles met je baseren op ervaringen in het verleden.
De blog heeft ondertussen al weer een update

MS is nog steeds aan het werk om de instructies voor een work around te schrijven. Deze blog post laat ook zien in wat voor spagaat MS zit: blijkbaar is veiligheid niet de hoofdzaak maar maken ze zich ook zorgen over de bruikbaarheid van Excel als je de work around in progress toe gaat passen.

De vraag is alleen waarom MS deze afweging voor zijn klanten meent te moeten maken. Een simpel advies van oe je problemen voorkomt en welke functionaliteit je daarmee verliest moet de meeste professionals in staat stellen om zelf deze afweging te maken tussen het risico van een aanval en het verlies aan functionaliteit.
Beetje raar. Ik kan me nog wel een aantal vulnerabilities in bijvoorbeeld IE herinneren, en waar de workaround was om bijvoorbeerd javascript uit te schakelen of niet meer op links te klikken. |:(
Ja sorry hoor maar dit heeft dezelfde gevolgen als bv een troyan ... Je moet het eerst openen.

Kan ik me niet druk om maken...

Zeker niet als je ook nog eens altijd als User draait.
Aha, dus als ik een virus schrijf die alle excel bestanden infecteerd waar je schijfrechten op hebt (bijvoorbeeld de hele mijn documenten dir) en een collega stuurt je de nieuwe winstcijfers (met die trojan dus) kan dat jou niet deren omdat je het eerst moet openen en je met user rechten draait?
Ja want je moet het eerst openen :)
ben benieuwd wat de eigenschappen zijn van deze exploit op het netwerk, dan kan ik me hier alvast schrap zetten om dat kreng op te gaan sporen.
Gezien het feit dat Microsoft niet snel zal afwijken van zijn periodieke patchdagen, is het volgens beveiligingexperts niet verwonderlijk dat dit lek vrijwel direct na 'Patch Tuesday' bekend is geworden. Nu kunnen de hackers rustig hun gang gaan tot de volgende uitgifte van allerhande patches, die pas weer over een maand zal gaan plaatsvinden.
Verbaast me niets.. Hackers laten op deze manier zien dat de ingeroosterde patchdag geen extra veiligheid geeft, maar een fraaie marketingstunt is. (plus dat je minder vaak patches langskrijgt, wat positiever overkomt)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True