Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 102 reacties

Microsoft heeft ontdekt dat aanvallers een kwetsbaarheid in Word 2007, 2010 en 2013 misbruiken. Door de kwetsbaarheid kunnen de aanvallers code uitvoeren op een systeem, waarbij dezelfde rechtenset geldt als die van de huidige gebruiker.

Office 2013De aanvallers richten zich volgens Microsoft op dit moment vooral op gebruikers van Word 2010, maar ook gebruikers van 2007 en 2013 zijn kwetsbaar. Het gaat om een zogenoemde zero-day exploit, wat betekent dat een beveiligingsprobleem waarvoor nog geen patch is, wordt misbruikt.

Het beveiligingsprobleem doet zich voor bij het parsen van gegevens die als rtf zijn geformatteerd. Daardoor wordt het geheugen aangetast en kan een aanvaller eigen code uitvoeren. Dat gebeurt met de rechtenset van de huidige gebruiker. Bovendien zouden andere beveiligingsproblemen in het besturingssysteem kunnen worden gebruikt om een hogere rechtenset te krijgen.

In de praktijk kan een Word-document bijvoorbeeld in een webpagina worden verstopt om nietsvermoedende internetgebruikers te treffen. Dat gebeurt bij een drive by-aanval. Ook kan een slachtoffer via e-mail worden benaderd. Standaard is Word namelijk de viewer voor berichten met rtf-content.

Hoewel er nog geen patch is, kunnen gebruikers zich beschermen door bijvoorbeeld de rtf-weergave in e-mails uit te schakelen, waardoor Word niet wordt geladen. Ook kan het automatisch laden van plug-ins in webbrowsers worden uitgeschakeld om drive by-aanvallen te voorkomen.

Moderatie-faq Wijzig weergave

Reacties (102)

Hoewel er nog geen patch is, kunnen gebruikers zich beschermen door bijvoorbeeld de rtf-weergave in e-mails uit te schakelen
Wellicht handig om erbij te vermelden hoe gebruikers dat kunnen doen? Op deze link wordt het uitgelegd voor Outlook 2010, maar volgens mij werken 2007/2013 op dezelfde manier :)
Bij mij staat het al standaard aan op outlook 2013.
Handig om te checken, maar voor zover ik weet staat dit allemaal standaard al op de juiste instellingen?
Hier staat alleen hoe je berichten die je verstuurd geen Rich Text kan laten zijn, niet hoe je de Rich Text viewer uitzet in Outlook.. (Zelf ook nog niet gevonden).
Misschien handig erbij te melden dat je met EMET 4.1 beter beschermt bent tegen deze exploit, totdat de update eraan komt.
The Enhanced Mitigation Experience Toolkit (EMET) helps mitigate the exploitation of this vulnerability by adding additional protection layers that make the vulnerability harder to exploit. EMET 3.0 and EMET 4.1 are officially supported by Microsoft. At this time, EMET is only available in the English language. For more information, see Microsoft Knowledge Base Article 2458544.

Configure EMET 4.1 for Microsoft Office applications

EMET 4.1, in the recommended configuration, is automatically configured to help protect affected software installed on your system. No additional steps are required.

[Reactie gewijzigd door vali op 25 maart 2014 12:14]

Ja nee daar heeft de gemiddelde gebruiker zin in of uberhaupt een idee van ;)
Kwestie van installeren en zoals vele doen, next spammen? Daar is niet iets moeilijkst aan.
Ik denk niet dat de "gemiddelde gebruiker" dit soort artikels leest.
Ja, héél handig. Handig ook dat deze veiligheids-update automatisch geïnstalleerd wordt? Waarom was er ook alweer Windows Update? Iemand?

[Reactie gewijzigd door [Yellow] op 25 maart 2014 17:55]

Die FixIt disabled alleen RTF-weergave, zoals dit nieuwsartikel al voorstelt. Het lek wordt er niet mee gedicht.

De fixit is overigens te downloaden op https://support.microsoft.com/kb/2953095
De fixit disabled het openen van .rtf bestanden door MS Word als je op zo'n .rtf bestand klikt of het in outlook opent
Het wordt dan veel moeilijker om geinfecteerd te raken tenzij iemand zo'n bestand toch download en vanuit MS Word zelf expliciet zo'n geinfecteerde bestand opent
Die link ligt tijdelijk even plat hij laad namelijk nu niet bij mij.
RTF uitschakelen in Outlook? Wat gebeurd er dan als je een niet standaard formaat binnenkrijgt wat dus geconverteerd wordt naar RTF? plain text? Lijkt me ook niet bepaald ideaal.
Geldt dit dan alleen voor Outlook, niet voor b.v. Gmail in je browser? Ik krijg de indruk dat het in een "drive-by"-aanval alleen werkt als je een plug-in van Word actief hebt in je browser? (Browser-plug-ins: sowieso allemaal uitzetten behalve Flash, en bij Flash "altijd vragen" aanzetten).
Het geldt voor iedere PC of Mac met de laatste paar versies van Office, ongeacht email programma. Zodra de RTF wordt geopened kan het fout gaan.

Wel een paar kantekeningen.

Je moet dus allereerst RTF openen. en Drive-by aanval is dus niet triviaal aangezien de standaard browser instellingen van vrijwel alle grote browsermerken niet zomaar ongevraagd een RTF bestand dat van een webpagina komt gaan openen buiten de browser

Of het in de browser gebeurd hangt van de plugin-instellingen af. Volgens mij staat dat niet standaard aan, maar ik laat me graag corrigeren. Hoe dan ook, gebeurt het in de browser hangt het ook van de veiligheidsinstellingen af. Internet Explorer in enhanced protected mode, bijvorobeeld zou zo'n plugin in een sandbox draaien, waardoor de exploit gewoon geen effect heeft want 'niets kan' en niet draait in de user-context

Tweakers medt verder dat Word de default viewer is. Dat is in context van Outlook als mailclient. Echter de exploint is niet praktisch in de previewer van Outlook, aangezien men enkele geheugen adressen moet gokken. Met een 64 bit computer is dat enkel theretisch. Microsoft medlt dan ook dat alle bekende exploints niet die route nemen. Outlook lijkt dus veilig.

Het zal dus waarschijnlijk gaan om gerichte aanvallen op bedrijven en instellingen via methoden als phishing mails, waarbij gebruikers handmatig een RTF document openen.

Tenslotte EMET 4.1 in standaard configuratie schijnt bescherming te bieden.
Ja, dat is dan precies wat ik bedoelde: alleen als je browser RTF-bestanden via een Office-plug-in direct opent kan het misgaan bij een drive-by; anders moet je toch echt het bestand downloaden en zelf uitvoeren (ik heb nog nooit gehoord van een browser die een bestand zonder de normale download-popup meteen uitvoert zonder een plug-in). Dus je bent veilig als je geen rare plug-ins aan hebt staan.

Ook al valt het risico met Outlook dan misschien mee, dit soort dingen zijn een extra reden om Outlook niet te gebruiken. Webmail bij Gmail of Outlook.com is sowieso wel prima.
Is gewoon nonsens advies. Alsof de gewone gebruiker het voor elkaar krijgt om het in te stellen dat RTF met WordPad geopend wordt.
Hm, misschien iets om een plugin/extension/addon voor te maken. Bijhouden in de browser wat met wat geopend mo Ik ga nog enonderzoeken of het er is en of het te maken is.
Zonder msOffice installatie worden rft documenten door 'wordpad' geopend. Misschien dat weer activeren? Of is wordpad al enige tijd niet meer beschikbaar?

Daarnaast gebruik ik 'aboword' (meuk: AbiWord 2.9.4) op kleine computers, die kan ook heel goed met rtf overweg.
Ik zal straks mijn moeder bellen om te zeggen dat ze RTF moet uitschakelen in haar Emails en dat ze het automatisch laden van Plugin in haar webbrowser moet uitschakelen vanwege een zero day exploit.

Die kan gelijk aan de zuurstof
Ik heb bij mijn ouders gewoon de UAC aan staan. Dat scheelt al een hoop. Hoef ik bovenstaande niet uit te leggen. Krijg hoogstens af en toe de vraag waarom ze steeds een foutmelding krijgt als ze op spelletjeswebsite X komt die een handig programmaatje wil installeren.
Hahahhaha, zeer goed verwoord.

Idd erg jammer dat tweakers hier niet wat meer tekst en uitleg over geeft...
Meer tekst en uitleg?

Het is tweakers.net, geen nu.nl ;) .
Precies.. IK begrijp wel wat er staat.. maar de 98% andere gebruikers van windows pc's, begrijp daar niks van. Het is niet aan tweakers om duidelijker te zijn.. maar aan Microsoft om zsm dit op te lossen.

Je kan simpelweg niet aan "normale" gebruikers melden dat ze bepaalde zaken moeten uitvinken.. dat gaat gewoon niet werken.
Je kan simpelweg niet aan "normale" gebruikers melden dat ze bepaalde zaken moeten uitvinken.. dat gaat gewoon niet werken.
"normale" gebruikers komen hier niet dus versimpeling en meer uitleg is niet nodig.
Verdiep jezelf of lees de reacties van anderen als je lui bent, en je wordt een stuk wijzer.
Daarom staat het op Tweakers ;-) Zodat "wij" het kunnen oplossen bij de mensen die dat e.v.t niet zelf kunnen/willen.

Mijn oplossing is simpeler (en zal me gegarandeerd een -1 opleveren hier): Geen Windows gebruiken.
"Mam, ja je zoon weer hier.. ik heb de oplossing... je gaat over naar Linux"

Kan ik gelijk een nog grotere zuurstoffles halen.
Je bent denk ik niet gewend om met mensen te werken? Is niks mis mee, niet iedereen kan dat.

Zo'n migratie is lastig maar niet onmogelijk. Ik heb zelf een paar mensen overgezet die al vanaf de jaren 90 met MS Windows gewend waren. Een kwestie van goed uitleggen wat de verschillen zijn en hoe het systeem voor hun werkt (bijvoorbeeld: wat willen ze ermee doen?) en dan een tijdje lang (meestal een middag of twee, drie) meekijken en e.v.t. verdere uitleg geven.

Mensen moeten dingen zelf ontdekken. Als ik saai alles uitleg dan blijft 60% daarvan (of meer) niet hangen. Als mensen het zelf doen en ergens tegenaan lopen en ik leg uit wat er nou precies gebeurde en hoe ze dat in de toekomst kunnen vermijden blijft die info vaak wel hangen.

Alle mensen die ik tot nu toe heb overgezet zijn happy campers om dat spreekwoord maar weer eens te gebruiken. Hoezo zou het voor je ouders/moeder niet kunnen dan?
Jij bent wel goed met mensen zo te horen :-) knap man!

maar je mist mijn punt een beetje.. is niet erg.. niet iedereen begrijpt nuance in humor.
Ik begreep je naunce perfect hoor ;-) Jij miste 90% van mijn eerste reactie ;-)

Het is toch zoveel simpeler om dit even voor je moeder te fixen dan het uitleggen? De fix doorvoeren duurt, wat, 30 seconden? Het uitleggen 30 minuten..
Wel, ik heb recent nog een oude dame Linux Mint geïnstalleerd. Deze was er na een uurtje al mee weg.
Het hangt er van af wat je moeder met de PC dagelijks doet.

Indien dit gewoon mailen en surfen is, dan valt het best mee om je hier voor aan te passen.

Het valt in ieder geval beter mee om een migratie van Windows 7 naar Linux Mint (Cinnamon) uit te leggen dan van Windows 7 naar Windows 8...
Wilde jij Linux of die dame?
Ik heb haar de keuze voorgelegd. Ofwel stak ik een goedkope machine in elkaar met Linux Mint. Ofwel met Windows 7 of Windows 8, maar dan wel wat duurder door de Windows licentie.

Ik heb voorgesteld om Linux Mint gewoon te installeren, en moest het tegenvallen, zonder extra kosten van mijn kant (dus wel gewoon de licentie kost betalen), Windows voor haar te installeren.

Tot op heden heb ik haar nog niet horen klagen. Ik hoor zelfs van meerdere kanten dat ze er niets dan lof over heeft. Vooral over de zeer snelle boottijden.

Ik heb zelfs een opmerking gekregen van één van haar kennissen dat ik ook zo eentje voor hem moet maken wanneer zijn laptop versleten is. :)

Moraal van het verhaal:
Indien de persoon in kwestie geen applicaties nodig heeft die enkel in Windows werken, kun je ze gerust eens voorstellen om Linux eens te proberen. Het zou ze beter kunnen meevallen dan je zou denken.
Wat ga je met die zuurstoffles doen dan? Voor je moeder zal het niet nodig zijn, tenzij ze nu echt alles blindelings weet te vinden onder windows, dus een goed ingewerkte power-user is zodat er een langer gewenningsproces nodig is (een reden dat ik nog steeds niet over ben). Je kan de boel immers prima zo inrichten dat alle simpele handelingen identiek zijn (uit de doos zijn ze afhankelijk van de distributie ook al bijna identiek aan de simpele handelingen in Windows).

De stap naar Windows 8 is sowieso een stuk groter (tenzij je het expliciet gaat inrichten, maar waarom dan bij Windows blijven?), wat ga je dan bestellen? Een grafkist? Lijkt me toch niet.

Dan sluit ik nog maar even af met een anecdote van een ruime 10 jaar geleden die ik in deze context vaker vertel. Een collega hield zich toen bezig met het automatiseren van een door vrijwilligers gerunde afdeling van de kerk. Dat deed hij op Linux omdat hij al sinds zijn studietijd niet anders deed, en omdat er in de kerk ook geen budget was voor een duur OS. En ja wat doe je dan met vrijwilligers die niet of nauwelijks bekend zijn op de computer? Die stuur je toch gewoon op Windowscursus voor alle basisprincipes. Dat bleek inderdaad prima te gaan.

P.S. Als je iemand een tablet in de handen drukt dan is de overstap naar een compleet ander OS 9 van de 10 keer ook zonder teveel moeite.

[Reactie gewijzigd door mae-t.net op 25 maart 2014 14:36]

Ik heb vorige maand toevallig zorin op de XP pc van mijn ouders geinstalleerd... ;)
Sorry hoor, maar ik heb betere dingen te doen dan bij jan en alleman het probleem gecreerd door Microsoft op te gaan lossen.
Dit vind ik nou zo jammer he. Is het nou echt zoveel moeite om iemand anders even uit de brand te helpen?
Wie zegt er dat je dat bij Jan en Alleman moet doen? Hou het gewoon bij je directe familie en je bent er. Dan help je meer mensen dan nu namelijk..
Wie zegt er dat je dat bij Jan en Alleman moet doen? Hou het gewoon bij je directe familie en je bent er. Dan help je meer mensen dan nu namelijk..
omdat mensen altijd de neiging hebben om je "aan te bevelen" bij anderen voor dit soort zaken
En je bent niet oud of wijs genoeg om te vertellen dat je het alleen voor familie doet? Heb ik ook gedaan jaren geleden, werkte fantastisch.
maar wel soort van computeridee :+
Microsoft Word 2003, 2007, 2010, 2013, 2013RT, Word Viewer, Office voor Mac, Office Web Apps 2010 en Web Apps 2013 zijn vatbaar.

Vooral voor 2003 wordt het nog afwachten of Microsoft dat 8 april nog gaat dichten want ook voor Office 2003 stopt dan de ondersteuning (beetje ondergesneeuwd bij XP). Bovenstaande Fix-it werkt er in ieder geval nog wel voor.
Als je inlogt als gewone gebruiker bij Mac heb je dan root /sudo rechten ?
Een gewone gebruiker is geen beheerder, ook in OSX.

Mijn voorliefde voor het platformonafhankelijke rtf komt omdat ik niet telkens dat zware MS-Word hoef te laden als ik even een bestand wil inzien. Dat doe ik dan met Teksteditor. Wil ik meer functies, dan open ik alsnog de artillerie...
Hoop wel op een snelle patch.

Edit: en toen bedacht ik me dat de versies van Office for Mac de namen '98, 2001, Office X, 2004, 2008 en 2011 hebben...
Ik ben weer lekker wakker. :|

[Reactie gewijzigd door trabant op 25 maart 2014 15:52]

Hoewel er nog geen patch is, kunnen gebruikers zich beschermen door bijvoorbeeld de rtf-weergave in e-mails uit te schakelen, waardoor Word niet wordt geladen. Ook kan het automatisch laden van plug-ins in webbrowsers worden uitgeschakeld om drive by-aanvallen te voorkomen.
Ik denk niet dat de gemiddelde gebruiker hier genoeg kennis van heeft om dit uit te schakelen. Een patch lijkt me toch een stuk handiger en veiliger.
Natuurlijk is een patch handiger, maar tot die tijd kan je het wel op deze manier een beetje voorkomen.

Als je het niet met de hand kunt of wilt doen kan je er een Fix it voor downloaden op https://support.microsoft.com/kb/2953095, die doet hetzelfde maar dan geautomatiseerd.
Flink lek, prettig dat MS hiervoor waarschuwt.
Ik hoop wel dat de patch sneller is, dan de programmatuur die op grote schaal misbruik zal maken van dit lek.
Of WordPad als standaard instellen voor RTF?
Was ook mijn eerste gedacht, dus ondertussen gedaan.
Misschien een stomme vraag, maar wat zou er gebeuren als een geïnfecteerd bestand met Office online wordt geopend? Is dat een methode om de servers van Microsoft onderuit te trappen, of is dit een extra selling point voor Office 365?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True