Microsoft waarschuwt voor zero-day exploit Word

Microsoft heeft ontdekt dat aanvallers een kwetsbaarheid in Word 2007, 2010 en 2013 misbruiken. Door de kwetsbaarheid kunnen de aanvallers code uitvoeren op een systeem, waarbij dezelfde rechtenset geldt als die van de huidige gebruiker.

Office 2013 De aanvallers richten zich volgens Microsoft op dit moment vooral op gebruikers van Word 2010, maar ook gebruikers van 2007 en 2013 zijn kwetsbaar. Het gaat om een zogenoemde zero-day exploit, wat betekent dat een beveiligingsprobleem waarvoor nog geen patch is, wordt misbruikt.

Het beveiligingsprobleem doet zich voor bij het parsen van gegevens die als rtf zijn geformatteerd. Daardoor wordt het geheugen aangetast en kan een aanvaller eigen code uitvoeren. Dat gebeurt met de rechtenset van de huidige gebruiker. Bovendien zouden andere beveiligingsproblemen in het besturingssysteem kunnen worden gebruikt om een hogere rechtenset te krijgen.

In de praktijk kan een Word-document bijvoorbeeld in een webpagina worden verstopt om nietsvermoedende internetgebruikers te treffen. Dat gebeurt bij een drive by-aanval. Ook kan een slachtoffer via e-mail worden benaderd. Standaard is Word namelijk de viewer voor berichten met rtf-content.

Hoewel er nog geen patch is, kunnen gebruikers zich beschermen door bijvoorbeeld de rtf-weergave in e-mails uit te schakelen, waardoor Word niet wordt geladen. Ook kan het automatisch laden van plug-ins in webbrowsers worden uitgeschakeld om drive by-aanvallen te voorkomen.

Reacties (101)

wildhagen

25 maart 2014 12:13

Hoewel er nog geen patch is, kunnen gebruikers zich beschermen door bijvoorbeeld de rtf-weergave in e-mails uit te schakelen

Wellicht handig om erbij te vermelden hoe gebruikers dat kunnen doen? Op deze link wordt het uitgelegd voor Outlook 2010, maar volgens mij werken 2007/2013 op dezelfde manier

vali @wildhagen • 25 maart 2014 12:19

Bij mij staat het al standaard aan op outlook 2013.

Mont2uk

@wildhagen • 25 maart 2014 12:20

Handig om te checken, maar voor zover ik weet staat dit allemaal standaard al op de juiste instellingen?

Verwijderd @wildhagen • 25 maart 2014 14:38

Hier staat alleen hoe je berichten die je verstuurd geen Rich Text kan laten zijn, niet hoe je de Rich Text viewer uitzet in Outlook.. (Zelf ook nog niet gevonden).

vali 25 maart 2014 12:13

Misschien handig erbij te melden dat je met EMET 4.1 beter beschermt bent tegen deze exploit, totdat de update eraan komt.

The Enhanced Mitigation Experience Toolkit (EMET) helps mitigate the exploitation of this vulnerability by adding additional protection layers that make the vulnerability harder to exploit. EMET 3.0 and EMET 4.1 are officially supported by Microsoft. At this time, EMET is only available in the English language. For more information, see Microsoft Knowledge Base Article 2458544.

Configure EMET 4.1 for Microsoft Office applications

EMET 4.1, in the recommended configuration, is automatically configured to help protect affected software installed on your system. No additional steps are required.

[Reactie gewijzigd door vali op 22 juli 2024 16:08]

RielN @vali • 25 maart 2014 12:19

Ja nee daar heeft de gemiddelde gebruiker zin in of uberhaupt een idee van

vali @RielN • 25 maart 2014 12:26

Kwestie van installeren en zoals vele doen, next spammen? Daar is niet iets moeilijkst aan.

NSG @RielN • 25 maart 2014 13:56

Ik denk niet dat de "gemiddelde gebruiker" dit soort artikels leest.

[Yellow] @vali • 25 maart 2014 17:54

Ja, héél handig. Handig ook dat deze veiligheids-update automatisch geïnstalleerd wordt? Waarom was er ook alweer Windows Update? Iemand?

[Reactie gewijzigd door [Yellow] op 22 juli 2024 16:08]

Loller1

Microsoft Office
Microsoft
Officesoftware en suites

25 maart 2014 12:25

Er is toch al een fix It voor uit?

wildhagen

@Loller1 • 25 maart 2014 12:27

Die FixIt disabled alleen RTF-weergave, zoals dit nieuwsartikel al voorstelt. Het lek wordt er niet mee gedicht.

De fixit is overigens te downloaden op https://support.microsoft.com/kb/2953095

Verwijderd @wildhagen • 25 maart 2014 16:49

De fixit disabled het openen van .rtf bestanden door MS Word als je op zo'n .rtf bestand klikt of het in outlook opent
Het wordt dan veel moeilijker om geinfecteerd te raken tenzij iemand zo'n bestand toch download en vanuit MS Word zelf expliciet zo'n geinfecteerde bestand opent

Verwijderd @wildhagen • 25 maart 2014 13:53

Die link ligt tijdelijk even plat hij laad namelijk nu niet bij mij.

Ayera 25 maart 2014 12:12

RTF uitschakelen in Outlook? Wat gebeurd er dan als je een niet standaard formaat binnenkrijgt wat dus geconverteerd wordt naar RTF? plain text? Lijkt me ook niet bepaald ideaal.

Cerberus_tm

@Ayera • 25 maart 2014 18:37

Geldt dit dan alleen voor Outlook, niet voor b.v. Gmail in je browser? Ik krijg de indruk dat het in een "drive-by"-aanval alleen werkt als je een plug-in van Word actief hebt in je browser? (Browser-plug-ins: sowieso allemaal uitzetten behalve Flash, en bij Flash "altijd vragen" aanzetten).

Armin @Cerberus_tm • 26 maart 2014 00:03

Het geldt voor iedere PC of Mac met de laatste paar versies van Office, ongeacht email programma. Zodra de RTF wordt geopened kan het fout gaan.

Wel een paar kantekeningen.

Je moet dus allereerst RTF openen. en Drive-by aanval is dus niet triviaal aangezien de standaard browser instellingen van vrijwel alle grote browsermerken niet zomaar ongevraagd een RTF bestand dat van een webpagina komt gaan openen buiten de browser

Of het in de browser gebeurd hangt van de plugin-instellingen af. Volgens mij staat dat niet standaard aan, maar ik laat me graag corrigeren. Hoe dan ook, gebeurt het in de browser hangt het ook van de veiligheidsinstellingen af. Internet Explorer in enhanced protected mode, bijvorobeeld zou zo'n plugin in een sandbox draaien, waardoor de exploit gewoon geen effect heeft want 'niets kan' en niet draait in de user-context

Tweakers medt verder dat Word de default viewer is. Dat is in context van Outlook als mailclient. Echter de exploint is niet praktisch in de previewer van Outlook, aangezien men enkele geheugen adressen moet gokken. Met een 64 bit computer is dat enkel theretisch. Microsoft medlt dan ook dat alle bekende exploints niet die route nemen. Outlook lijkt dus veilig.

Het zal dus waarschijnlijk gaan om gerichte aanvallen op bedrijven en instellingen via methoden als phishing mails, waarbij gebruikers handmatig een RTF document openen.

Tenslotte EMET 4.1 in standaard configuratie schijnt bescherming te bieden.

Cerberus_tm

@Armin • 26 maart 2014 00:28

Ja, dat is dan precies wat ik bedoelde: alleen als je browser RTF-bestanden via een Office-plug-in direct opent kan het misgaan bij een drive-by; anders moet je toch echt het bestand downloaden en zelf uitvoeren (ik heb nog nooit gehoord van een browser die een bestand zonder de normale download-popup meteen uitvoert zonder een plug-in). Dus je bent veilig als je geen rare plug-ins aan hebt staan.

Ook al valt het risico met Outlook dan misschien mee, dit soort dingen zijn een extra reden om Outlook niet te gebruiken. Webmail bij Gmail of Outlook.com is sowieso wel prima.

[Yellow] @Ayera • 25 maart 2014 17:53

Is gewoon nonsens advies. Alsof de gewone gebruiker het voor elkaar krijgt om het in te stellen dat RTF met WordPad geopend wordt.

M.l. @[Yellow] • 25 maart 2014 21:18

Hm, misschien iets om een plugin/extension/addon voor te maken. Bijhouden in de browser wat met wat geopend mo Ik ga nog enonderzoeken of het er is en of het te maken is.

beerse

Officesoftware en suites
Microsoft Office

@Ayera • 25 maart 2014 12:25

Zonder msOffice installatie worden rft documenten door 'wordpad' geopend. Misschien dat weer activeren? Of is wordpad al enige tijd niet meer beschikbaar?

Daarnaast gebruik ik 'aboword' (meuk: AbiWord 2.9.4) op kleine computers, die kan ook heel goed met rtf overweg.

Alcmaria 25 maart 2014 12:15

Ik zal straks mijn moeder bellen om te zeggen dat ze RTF moet uitschakelen in haar Emails en dat ze het automatisch laden van Plugin in haar webbrowser moet uitschakelen vanwege een zero day exploit.

Die kan gelijk aan de zuurstof

SunnieNL

@Alcmaria • 25 maart 2014 13:49

Ik heb bij mijn ouders gewoon de UAC aan staan. Dat scheelt al een hoop. Hoef ik bovenstaande niet uit te leggen. Krijg hoogstens af en toe de vraag waarom ze steeds een foutmelding krijgt als ze op spelletjeswebsite X komt die een handig programmaatje wil installeren.

Verwijderd @Alcmaria • 25 maart 2014 12:21

Hahahhaha, zeer goed verwoord.

Idd erg jammer dat tweakers hier niet wat meer tekst en uitleg over geeft...

KillaZ @Verwijderd • 25 maart 2014 12:24

Meer tekst en uitleg?

Het is tweakers.net, geen nu.nl

Alcmaria @KillaZ • 25 maart 2014 12:26

Precies.. IK begrijp wel wat er staat.. maar de 98% andere gebruikers van windows pc's, begrijp daar niks van. Het is niet aan tweakers om duidelijker te zijn.. maar aan Microsoft om zsm dit op te lossen.

Je kan simpelweg niet aan "normale" gebruikers melden dat ze bepaalde zaken moeten uitvinken.. dat gaat gewoon niet werken.

Verwijderd @Alcmaria • 25 maart 2014 15:14

Je kan simpelweg niet aan "normale" gebruikers melden dat ze bepaalde zaken moeten uitvinken.. dat gaat gewoon niet werken.

"normale" gebruikers komen hier niet dus versimpeling en meer uitleg is niet nodig.
Verdiep jezelf of lees de reacties van anderen als je lui bent, en je wordt een stuk wijzer.

sfranken @Alcmaria • 25 maart 2014 12:52

Daarom staat het op Tweakers ;-) Zodat "wij" het kunnen oplossen bij de mensen die dat e.v.t niet zelf kunnen/willen.

Mijn oplossing is simpeler (en zal me gegarandeerd een -1 opleveren hier): Geen Windows gebruiken.

Alcmaria @sfranken • 25 maart 2014 12:58

"Mam, ja je zoon weer hier.. ik heb de oplossing... je gaat over naar Linux"

Kan ik gelijk een nog grotere zuurstoffles halen.

sfranken @Alcmaria • 25 maart 2014 13:02

Je bent denk ik niet gewend om met mensen te werken? Is niks mis mee, niet iedereen kan dat.

Zo'n migratie is lastig maar niet onmogelijk. Ik heb zelf een paar mensen overgezet die al vanaf de jaren 90 met MS Windows gewend waren. Een kwestie van goed uitleggen wat de verschillen zijn en hoe het systeem voor hun werkt (bijvoorbeeld: wat willen ze ermee doen?) en dan een tijdje lang (meestal een middag of twee, drie) meekijken en e.v.t. verdere uitleg geven.

Mensen moeten dingen zelf ontdekken. Als ik saai alles uitleg dan blijft 60% daarvan (of meer) niet hangen. Als mensen het zelf doen en ergens tegenaan lopen en ik leg uit wat er nou precies gebeurde en hoe ze dat in de toekomst kunnen vermijden blijft die info vaak wel hangen.

Alle mensen die ik tot nu toe heb overgezet zijn happy campers om dat spreekwoord maar weer eens te gebruiken. Hoezo zou het voor je ouders/moeder niet kunnen dan?

Alcmaria @sfranken • 25 maart 2014 13:07

Jij bent wel goed met mensen zo te horen :-) knap man!

maar je mist mijn punt een beetje.. is niet erg.. niet iedereen begrijpt nuance in humor.

sfranken @Alcmaria • 25 maart 2014 13:11

Ik begreep je naunce perfect hoor ;-) Jij miste 90% van mijn eerste reactie ;-)

Het is toch zoveel simpeler om dit even voor je moeder te fixen dan het uitleggen? De fix doorvoeren duurt, wat, 30 seconden? Het uitleggen 30 minuten..

fluffy1 @Alcmaria • 25 maart 2014 14:21

Wel, ik heb recent nog een oude dame Linux Mint geïnstalleerd. Deze was er na een uurtje al mee weg.
Het hangt er van af wat je moeder met de PC dagelijks doet.

Indien dit gewoon mailen en surfen is, dan valt het best mee om je hier voor aan te passen.

Het valt in ieder geval beter mee om een migratie van Windows 7 naar Linux Mint (Cinnamon) uit te leggen dan van Windows 7 naar Windows 8...

Verwijderd @fluffy1 • 25 maart 2014 15:46

Wilde jij Linux of die dame?

fluffy1 @Verwijderd • 25 maart 2014 23:44

Ik heb haar de keuze voorgelegd. Ofwel stak ik een goedkope machine in elkaar met Linux Mint. Ofwel met Windows 7 of Windows 8, maar dan wel wat duurder door de Windows licentie.

Ik heb voorgesteld om Linux Mint gewoon te installeren, en moest het tegenvallen, zonder extra kosten van mijn kant (dus wel gewoon de licentie kost betalen), Windows voor haar te installeren.

Tot op heden heb ik haar nog niet horen klagen. Ik hoor zelfs van meerdere kanten dat ze er niets dan lof over heeft. Vooral over de zeer snelle boottijden.

Ik heb zelfs een opmerking gekregen van één van haar kennissen dat ik ook zo eentje voor hem moet maken wanneer zijn laptop versleten is.

Moraal van het verhaal:
Indien de persoon in kwestie geen applicaties nodig heeft die enkel in Windows werken, kun je ze gerust eens voorstellen om Linux eens te proberen. Het zou ze beter kunnen meevallen dan je zou denken.

mae-t.net @Alcmaria • 25 maart 2014 14:26

Wat ga je met die zuurstoffles doen dan? Voor je moeder zal het niet nodig zijn, tenzij ze nu echt alles blindelings weet te vinden onder windows, dus een goed ingewerkte power-user is zodat er een langer gewenningsproces nodig is (een reden dat ik nog steeds niet over ben). Je kan de boel immers prima zo inrichten dat alle simpele handelingen identiek zijn (uit de doos zijn ze afhankelijk van de distributie ook al bijna identiek aan de simpele handelingen in Windows).

De stap naar Windows 8 is sowieso een stuk groter (tenzij je het expliciet gaat inrichten, maar waarom dan bij Windows blijven?), wat ga je dan bestellen? Een grafkist? Lijkt me toch niet.

Dan sluit ik nog maar even af met een anecdote van een ruime 10 jaar geleden die ik in deze context vaker vertel. Een collega hield zich toen bezig met het automatiseren van een door vrijwilligers gerunde afdeling van de kerk. Dat deed hij op Linux omdat hij al sinds zijn studietijd niet anders deed, en omdat er in de kerk ook geen budget was voor een duur OS. En ja wat doe je dan met vrijwilligers die niet of nauwelijks bekend zijn op de computer? Die stuur je toch gewoon op Windowscursus voor alle basisprincipes. Dat bleek inderdaad prima te gaan.

P.S. Als je iemand een tablet in de handen drukt dan is de overstap naar een compleet ander OS 9 van de 10 keer ook zonder teveel moeite.

[Reactie gewijzigd door mae-t.net op 22 juli 2024 16:08]

Verwijderd @Alcmaria • 25 maart 2014 19:27

Ik heb vorige maand toevallig zorin op de XP pc van mijn ouders geinstalleerd...

sfranken @Yucko • 25 maart 2014 13:48

Sorry hoor, maar ik heb betere dingen te doen dan bij jan en alleman het probleem gecreerd door Microsoft op te gaan lossen.

Dit vind ik nou zo jammer he. Is het nou echt zoveel moeite om iemand anders even uit de brand te helpen?

sfranken @Yucko • 25 maart 2014 14:32

Wie zegt er dat je dat bij Jan en Alleman moet doen? Hou het gewoon bij je directe familie en je bent er. Dan help je meer mensen dan nu namelijk..

Yucko @sfranken • 25 maart 2014 14:57

Wie zegt er dat je dat bij Jan en Alleman moet doen? Hou het gewoon bij je directe familie en je bent er. Dan help je meer mensen dan nu namelijk..

omdat mensen altijd de neiging hebben om je "aan te bevelen" bij anderen voor dit soort zaken

sfranken @Yucko • 25 maart 2014 15:00

En je bent niet oud of wijs genoeg om te vertellen dat je het alleen voor familie doet? Heb ik ook gedaan jaren geleden, werkte fantastisch.

himlims_ @KillaZ • 25 maart 2014 12:43

maar wel soort van computeridee

sambalbaj 25 maart 2014 13:50

Microsoft Word 2003, 2007, 2010, 2013, 2013RT, Word Viewer, Office voor Mac, Office Web Apps 2010 en Web Apps 2013 zijn vatbaar.

Vooral voor 2003 wordt het nog afwachten of Microsoft dat 8 april nog gaat dichten want ook voor Office 2003 stopt dan de ondersteuning (beetje ondergesneeuwd bij XP). Bovenstaande Fix-it werkt er in ieder geval nog wel voor.

Verwijderd @sambalbaj • 25 maart 2014 14:13

Als je inlogt als gewone gebruiker bij Mac heb je dan root /sudo rechten ?

trabant @Verwijderd • 25 maart 2014 15:00

Een gewone gebruiker is geen beheerder, ook in OSX.

Mijn voorliefde voor het platformonafhankelijke rtf komt omdat ik niet telkens dat zware MS-Word hoef te laden als ik even een bestand wil inzien. Dat doe ik dan met Teksteditor. Wil ik meer functies, dan open ik alsnog de artillerie...
Hoop wel op een snelle patch.

Edit: en toen bedacht ik me dat de versies van Office for Mac de namen '98, 2001, Office X, 2004, 2008 en 2011 hebben...
Ik ben weer lekker wakker.

[Reactie gewijzigd door trabant op 22 juli 2024 16:08]

tweaker2010 25 maart 2014 12:13

Hoewel er nog geen patch is, kunnen gebruikers zich beschermen door bijvoorbeeld de rtf-weergave in e-mails uit te schakelen, waardoor Word niet wordt geladen. Ook kan het automatisch laden van plug-ins in webbrowsers worden uitgeschakeld om drive by-aanvallen te voorkomen.

Ik denk niet dat de gemiddelde gebruiker hier genoeg kennis van heeft om dit uit te schakelen. Een patch lijkt me toch een stuk handiger en veiliger.

wildhagen

@tweaker2010 • 25 maart 2014 12:28

Natuurlijk is een patch handiger, maar tot die tijd kan je het wel op deze manier een beetje voorkomen.

Als je het niet met de hand kunt of wilt doen kan je er een Fix it voor downloaden op https://support.microsoft.com/kb/2953095, die doet hetzelfde maar dan geautomatiseerd.

3x3 25 maart 2014 12:13

Flink lek, prettig dat MS hiervoor waarschuwt.
Ik hoop wel dat de patch sneller is, dan de programmatuur die op grote schaal misbruik zal maken van dit lek.

Eloy 25 maart 2014 12:13

Of WordPad als standaard instellen voor RTF?

Whatts @Eloy • 25 maart 2014 12:24

Was ook mijn eerste gedacht, dus ondertussen gedaan.

Verwijderd 25 maart 2014 13:44

Misschien een stomme vraag, maar wat zou er gebeuren als een geïnfecteerd bestand met Office online wordt geopend? Is dat een methode om de servers van Microsoft onderuit te trappen, of is dit een extra selling point voor Office 365?

Op dit item kan niet meer gereageerd worden.

Microsoft waarschuwt voor zero-day exploit Word

Lees meer

Reacties (101)

Sorteer op:

Weergave: