Nieuwe 'zero-day exploit' in Excel ontdekt

Beveiligingsexperts van Microsoft hebben op het weblog van het Security Response Center te kennen gegeven dat er een lek is ontdekt in het spreadsheetprogramma Excel. Het heeft niet alleen de 'Extremely critical'-classificatie gekregen van Secunia, er is ook al een geval bekend waarin de kwetsbaarheid benut is in een criminele aanslag op gebruikersgegevens. Daarom kan men dan ook wel spreken van de ontdekking van een 'zero-day exploit', een term die gebruikt wordt voor kwetsbaarheden die nog niet zijn ontdekt door computerbeveiligingsexperts, maar al wel gebruikt worden door kwaadwillende hackers. Om het lek in Excel uit te buiten, moet er een speciaal spreadsheetbestand worden gemaakt en doorgestuurd naar het doelwit. Na het openen van het bestand kan door een fout binnen de software ingevoegde code worden uitgevoerd en zo toegang tot het doelsysteem worden verkregen.

Trojan HorseVolgens Symantec zijn er al schadelijke Excel-bestanden opgedoken met de naam 'okN.xls', die het trojaanse paard 'Mdropper.J' en een programma met de naam 'Booli.A' bevatten. Deze kunnen gebruikt worden om extra bestanden naar een geïnfecteerde pc te uploaden. Gezien het feit dat Microsoft niet snel zal afwijken van zijn periodieke patchdagen, is het volgens beveiligingexperts niet verwonderlijk dat dit lek vrijwel direct na 'Patch Tuesday' bekend is geworden. Nu kunnen de hackers rustig hun gang gaan tot de volgende uitgifte van allerhande patches, die pas weer over een maand zal gaan plaatsvinden. Overigens is Windows Live Safety Center al wel uitgerust met de capaciteit om eventuele kwaadaardige Excel-bestanden op te sporen. Toen enige tijd geleden een soortgelijk lek in Word aan het licht kwam, was Microsofts reactie dat gebruikers extra waakzaam moesten zijn totdat het lek gedicht werd met de beveiligingsupdates die afgelopen dinsdag door het softwarebedrijf de wereld zijn ingestuurd.

Door Bart Veldstra

Freelance Nieuwsposter

Feedback • 16-06-2006 23:57
33 • submitter: Ateq

16-06-2006 • 23:57

33

Submitter: Ateq

Bron: Ms Security Response Center

Lees meer

Microsoft geeft langverwacht lapmiddel voor gdi-lek vrij
Microsoft geeft langverwacht lapmiddel voor gdi-lek vrij Nieuws van 15 augustus 2007
Nieuwe exploits voor Powerpoint in het wild
Nieuwe exploits voor Powerpoint in het wild Nieuws van 27 september 2006
Veiligheidsonderzoeker ontdekt backdoors in pdf-bestanden
Veiligheidsonderzoeker ontdekt backdoors in pdf-bestanden Nieuws van 16 september 2006
MS: 'Zogenaamde 0-day Powerpoint-exploit al lang opgelost'
MS: 'Zogenaamde 0-day Powerpoint-exploit al lang opgelost' Nieuws van 24 augustus 2006
Hacker ontdekt tweede kritiek lek in Excel
Hacker ontdekt tweede kritiek lek in Excel Nieuws van 21 juni 2006
Defacer treft Franse expertwebsite Microsoft
Defacer treft Franse expertwebsite Microsoft Nieuws van 19 juni 2006
Grensoverschrijdend Javascript-lek ontdekt
Grensoverschrijdend Javascript-lek ontdekt Nieuws van 7 juni 2006
MS overweegt tussentijdse patch Word-kwetsbaarheid
MS overweegt tussentijdse patch Word-kwetsbaarheid Nieuws van 23 mei 2006
MS Word-gebruikers bedreigd door vulnerability
MS Word-gebruikers bedreigd door vulnerability Nieuws van 20 mei 2006
Proof of concept voor misbruik Firefox-image-bug
Proof of concept voor misbruik Firefox-image-bug Nieuws van 12 mei 2006
Software biedt noodoplossing tegen exploits
Software biedt noodoplossing tegen exploits Nieuws van 1 mei 2006
Onderzoeker onthult 'kritieke' fouten in Mac OS X
Onderzoeker onthult 'kritieke' fouten in Mac OS X Nieuws van 22 april 2006
Microsoft patcht tien kritieke bugs, Eolas-patch ook in update
Microsoft patcht tien kritieke bugs, Eolas-patch ook in update Nieuws van 12 april 2006
Beveiligingslek in x86-chips gedemonstreerd
Beveiligingslek in x86-chips gedemonstreerd Nieuws van 12 april 2006
Meer producten en artikelen
Software

Reacties (33)

-Moderatie-faq
33
33
19
1
0
3
Wijzig sortering
Verwijderd 17 juni 2006 09:23
* Zit rustig achter OpenOffice

Geen nieuws voor mij. Office wordt vaak in gietervorm uitgegeven. Met de Franse slag dus. Daarom vindt ik dat ik goede redenen heb tegenover anderen om OpenOffice te draaien. OpenOffice is minder bekend en het ODF formaat is nog vrij nieuw=weinig virussen en exploits.
Verwijderd @Verwijderd17 juni 2006 10:49
OOo is compatibel met MS Office.Een geinfecteerd (MS) bestand zal hetzelfde teweeg brengen op je home directory. Aangezien je data-bestanden hierop worden opgeslagen zijn deze dus ook gewoon doelwit. (Virus wordt uitgevoerd onder user/inlog account, dus je files, lees: documenten. etc zijn ook vatbaar hiervoor)
dtech @Verwijderd17 juni 2006 11:05
OOo kan Ms office bestanden INLEZEN, deze exploit zal dus niet werken op OOo, net zo goed als een exploit voor Office 97 niet hoeft te werken in Office 2003, het zijn gewoon andere softwarepakketten die toevallig dezelfde bestanden in kunnen lezen (al zal bij Office veel code etc. hergebruikt zijn natuurlijk)
Een nadeel hiervan is natuurlijk wel dat je importfouten kunt hebben in OOo, maar dat kan je ook hebben als je in office 2000+ een pre-office 2000 bestand inleest (dacht dat ze in Office 2000 naar een nieuwe reversie van de .doc, .xls etc bestanden waren gegaan)
The Noid @dtech17 juni 2006 12:36
Het ligt er aan of dezelfde fout in het macro gedeelte van MS office ook in het macro gedeelte van OOo zit. Zit die fout niet in OOo dan zal de exploit zeker niet werken op OOo.

Zit de fout ook in OOo dan is er een kans dat de exploit wel werkt. Als de fout bijvoorbeeld een buffer overflow is is de kans dat de exploit werkt echter zeer klein.
Verwijderd @dtech17 juni 2006 12:11
Macros kunnen wel degelijk worden uitgevoerd onder OOo. Deze kunnen wel degelijk SCHRIJVEN onder OOo. Weet ik 100% zeker. Natuurlijk kun je dit ondervangen als je het beveiligingsnivo van het uitvoeren van macros op HOOG hebt ingesteld, maar dit geldt ook voor MS Office.
Verwijderd @dtech17 juni 2006 12:48
Inderdaad The Noid. Zo is het. Daarom ben ik eigenlijk best wel benieuwd hiernaar. Wellicht/hopelijk wordt dit de komdende tijd duidelijk.
Zaffo @Verwijderd17 juni 2006 10:23
En je hoeft niet te betalen om angevallen te kunnen worden, simpelweg gratis viligheid.
weinig virussen en exploits
Zeg maar gerust geen. Er was laatst wel een proof-of-concept voor StarOffice, maar die zat ook in een oud StarOffice bestand geplakt. Scheen dat die het niet direct in OOo deed.
Verwijderd @Verwijderd18 juni 2006 12:10
weer zo iemand die de indruk wekt dat OS zo veilig is.
Verwijderd 17 juni 2006 00:10
"Nu kunnen de hackers rustig hun gang gaan tot de volgende uitgifte van allerhande patches, die pas weer over een maand zal gaan plaatsvinden."

Daddis iet joeng!!! (sorry voor het platte vlaamsch.)

* Extremely critical
* Zero-day exploit

Meer dan reden genoeg om is heel misschien een poging te ondernemen om zo te trachten om eventueel met de intentie naar boven te komen om eens iets goed te doen door eens vroeger met een patch te komen, om zo enigzins niet verder in achting te dalen...

...

Maar nee...


ALS dit dan al in de media komt zal het nog onder de volgende titel zijn:
"MS zal al bij volgende periodieke patchdag met een oplossing komen!"
ipv:
"MS doet geen enkele extra moeite om een zeer kritieke beveiligingsfout op te lossen."
De gebruiker thuis krijgt enkel het eerste o zo objectieve nieuws te horen en denkt: "Woow, dan al?!?! Ze doen daar toch hun best hoor, om de arme onwetende burger zo te beschermen!"

Miserie...

EDIT:
Om maar te zwijgen over de mogelijkheid dat MS van de tactiek gebruik maakt om gewoonweg niet over de exploit te praten, wie niet weet niet deert... Goed mogelijk dat dit 'agendapuntje' al een hele periode op het lijstje "Lets just hope it doesn't get public" stond dat als memo in de toiletten van hun kantoren hangt.

Sorry... Kon het niet helpen negatief te zijn...
alt-92 @Verwijderd17 juni 2006 00:41
Een ik-heb-een-kort-geheugen-hotfix, kunnen ze dat dan ook met de volgende patchronde meenemen? :P

Bij de wmf-exploit begin dit jaar weken ze uiteindelijk ook af van het reguliere schema
Verwijderd @alt-9217 juni 2006 07:17
Nja, dat is helemaal waar.
Het was echter wel een andere situatie: klik
"Voor Redmond was dat reden genoeg om terug te komen op het oorspronkelijke besluit om het lek pas volgende week dinsdag te repareren."

Het was toen al gepland om een paar dagen later een patchronde te houden. De andere patches die ze dan ook wilden uitbrengen, zullen dus wel al klaargelegen hebben, zodat het voor Redmond niet zoveel uitmaakte.

Nu gaat het echter over een kleine maand ipv een aantal dagen...
Verwijderd @alt-9219 juni 2006 10:29
moet je wel zo'n excel bestandje krijgen en dan ook nog openen.
RoTro 17 juni 2006 00:00
mooi dat ze et nu 'al' ontdekt hebben, maar voor zulke fouten moeten ze direct updaten vind ik
Toff @RoTro17 juni 2006 00:18
Alsof alle Officegebruikers iedere dag checken voor updates?
Ik ben sowieso erg voorzichtig met dit soort bestanden; De meeste "leuke" Powerpointpresentaties haal ik niet eens van de mailserver en Word of Excel-bestanden accepteer ik alleen van zeer vertrouwde afzenders (op de vingers van 1 hand te tellen en eigenlijk alleen zakelijk).
Verder denk ik dat je het proces van patchen en checken wat onderschat. Als MS door een snelle patch tienduizende onbesmette bestanden onbruikbaar maakt ofzo, zijn de rapen pas echt gaar... En het zal niet de eerste keer zijn dat een patch weer een nieuw probleem introduceert. Nee, wat jij wilt is onrealistisch vrees ik.
Parasietje @Toff17 juni 2006 01:24
Patch tuesday is er gekomen om de tijd tussen bekendmaken van een patch en het patchen te verkleinen. Veelal worden dingen die nog niet actief misbruikt worden, gepatched. Als de patch bekendgemaakt wordt, gaan hackers meteen op zoek naar het specifieke lek dat gedicht wordt, en maken ze er gebruik van op ongepatchte systemen. Daarom is patch Tuesday er gekomen.
Hier ZIJN echter al exploits voor, die actief gebruikt worden. Het lek is al bekend, en er moet dus meteen een patch komen.

OK, QA is belangrijk. Maar dat zou in 3 weken toch wel moeten lukken? Da's 1 week minder kans op een infectie.
jasperwillem @Toff17 juni 2006 01:35
Office 2003 wordt geupdate vanuit de centrale updatesite van Microsoft.

De meeste computers die bij problemen tegenkomen, waaraan tweakers vervolgens onderhoud plegen ...o.a. het draaien van XP updates..., zijn dus veilig, is mijn vermoeden.
Verwijderd @RoTro17 juni 2006 00:04
Dat gaat nogal moeilijk:
Daarom kan men dan ook wel spreken van een 'zero-day exploit', een term die gebruikt wordt voor kwetsbaarheden die nog niet zijn ontdekt door computerbeveiligingsexperts, maar al wel gebruikt worden door kwaadwillende hackers.
EDIT: wat is hier overbodig aan? ze kunnen toch niet direct een patch maken als ze niet weten waar de fout zit.
Olaf van der Spek @Verwijderd17 juni 2006 00:38
EDIT: wat is hier overbodig aan? ze kunnen toch niet direct een patch maken als ze niet weten waar de fout zit.
Symantec heeft de bestanden toch al? Dan is het vinden van de fout redelijk simpel.
Verwijderd @RoTro17 juni 2006 08:52
Fijn, die standaard Tweakers MS bashing.

Kan iemand me vertellen waar er staat dat Microsoft wacht tot het patch tuesday voordat ze het fixen?

Juist, dat staat dus nergens. Het is nog niet bekend of er al een fix is, en ook niet bekend of Microsoft specifiek zou wachten. Dat is allemaal maar een gerucht wat een 'veiligheidsexpert' verspreid.

Pure FUD dus. Waren zeker teveel aardige MS berichten op Tweakers geweest de afgelopen week. :r
Verwijderd @Verwijderd17 juni 2006 12:31
Al eens bij stilgestaan dat de meeste MS bashing ontstaat uit het feit dat het verleden ons al vaak geleerd heeft dat MS vaak weinig of niks doet aan flagrante problemen ?
Floor @Verwijderd17 juni 2006 16:02
Sjezus, iets met verkeerde been?

Het is maar wat je bashing noemt....
On topic:

Overigens, wanneer je de office beveiligingsniveau op hoog hebt staan kan er al volgens mij al minder snel wat gebeuren. Wanneer je een goede virusscanner i.c.m. firewall draait dan kan er naar mijn mening nog minder mis gaan.
freaky @Verwijderd19 juni 2006 09:03
@AHBdV

Nee jij hebt duidelijk veel kennis van MS. Als je enig verstand van zaken had weet je dat MS normaliter alleen patches released op patch tuesday en hier alleen ZEER exceptioneel van afwijkt. Iets wat het merendeel van de bezoekers hier wel weet.

@Floor

Virusscanners kunnen vaak niks tegen de exploit zelf doen. Alleen het virus stoppen als het eenmaal binnen is. Nou crashed excel bij deze exploit waarschijnlijk niet, maar soms kan het toch aardig wat kwaad... Neem bijv. de DCOM exploit. Deze crashed een service en het systeem zal binnen 60 seconden opnieuw opstarten daarna, of je dat nou leuk vind of niet. Derhalve kun je al je onopslagen werk kwijt zijn, om maar wat te noemen.
SED @freaky19 juni 2006 10:55
Niet juist, bijv. symantec check het attachement op de code die aangeroepen wordt en voorkomt dus het openen van het excel bestand.
Met een goede virusscanner loop je dus geen enkel gevaar!
Bobco @Verwijderd17 juni 2006 10:33
Als je de nieuwspost leest dan zie je dat bij een soortgelijk probleem in Word MS niets heeft gedaan om het probleem sneller op te lossen dan binnen een maand en alleen een advies gegeven heeft om 'extra waakzaam' te zijn.

Gezien deze reactie en geen andere is het niet onlogisch om te verwachten dat de reactie van MS weer hetzelfde zal zijn. Dat heeft weinig te maken met bashen, maar alles met je baseren op ervaringen in het verleden.
Bobco 17 juni 2006 10:40
De blog heeft ondertussen al weer een update

MS is nog steeds aan het werk om de instructies voor een work around te schrijven. Deze blog post laat ook zien in wat voor spagaat MS zit: blijkbaar is veiligheid niet de hoofdzaak maar maken ze zich ook zorgen over de bruikbaarheid van Excel als je de work around in progress toe gaat passen.

De vraag is alleen waarom MS deze afweging voor zijn klanten meent te moeten maken. Een simpel advies van oe je problemen voorkomt en welke functionaliteit je daarmee verliest moet de meeste professionals in staat stellen om zelf deze afweging te maken tussen het risico van een aanval en het verlies aan functionaliteit.
HarmoniousVibe @Bobco17 juni 2006 10:58
Beetje raar. Ik kan me nog wel een aantal vulnerabilities in bijvoorbeeld IE herinneren, en waar de workaround was om bijvoorbeerd javascript uit te schakelen of niet meer op links te klikken. |:(
gassiepaart 17 juni 2006 12:11
Overigens is Windows Live Safety Center al wel uitgerust met de capaciteit om eventuele kwaadaardige Excel-bestanden op te sporen.
sure:
http://safety.live.com/utility/site/default_ServerError.htm
Verwijderd @gassiepaart19 juni 2006 10:11
Dat kun je soms hebben dat een site niet beschikbaar is, momenteel lijkt alles het probleemloos te doen. Het NL gedeelte (voor zover dat al een appart gedeelte zou zijn) werkt (of doet het in elk geval).

Tis in elk geval voorbarig om een conclusie te verbinden aan het niet beschikbaar zijn van de site.
Verwijderd 17 juni 2006 10:55
Ja sorry hoor maar dit heeft dezelfde gevolgen als bv een troyan ... Je moet het eerst openen.

Kan ik me niet druk om maken...

Zeker niet als je ook nog eens altijd als User draait.
dtech @Verwijderd17 juni 2006 11:07
Aha, dus als ik een virus schrijf die alle excel bestanden infecteerd waar je schijfrechten op hebt (bijvoorbeeld de hele mijn documenten dir) en een collega stuurt je de nieuwe winstcijfers (met die trojan dus) kan dat jou niet deren omdat je het eerst moet openen en je met user rechten draait?
Verwijderd @dtech17 juni 2006 11:11
Ja want je moet het eerst openen :)
Joghert 17 juni 2006 03:15
ben benieuwd wat de eigenschappen zijn van deze exploit op het netwerk, dan kan ik me hier alvast schrap zetten om dat kreng op te gaan sporen.
YaPP 17 juni 2006 11:41
Gezien het feit dat Microsoft niet snel zal afwijken van zijn periodieke patchdagen, is het volgens beveiligingexperts niet verwonderlijk dat dit lek vrijwel direct na 'Patch Tuesday' bekend is geworden. Nu kunnen de hackers rustig hun gang gaan tot de volgende uitgifte van allerhande patches, die pas weer over een maand zal gaan plaatsvinden.
Verbaast me niets.. Hackers laten op deze manier zien dat de ingeroosterde patchdag geen extra veiligheid geeft, maar een fraaie marketingstunt is. (plus dat je minder vaak patches langskrijgt, wat positiever overkomt)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq