image

Microsoft waarschuwt voor ernstig lek in Word

dinsdag 25 maart 2014, 09:25 door Redactie, 17 reacties

Microsoft waarschuwt gebruikers voor een ernstig lek in verschillende versies van Microsoft Word dat actief wordt gebruikt voor het infecteren van computers met malware en waarvoor nog geen patch beschikbaar is. Het lek zou op "beperkte schaal" bij gerichte aanvallen zijn ingezet.

Word 2003, 2007, 2010, 2013, Word Viewer, Microsoft Office voor Mac 2011, het Office Compatibility Pack Service Pack 3, Word Automation Services op Microsoft SharePoint Server 2010 en 2013, Office Web Apps 2010 en Office Web Apps Server 2013 zijn allemaal kwetsbaar. De nu waargenomen aanvallen waren echter alleen tegen Word 2010 gericht.

Om de kwetsbaarheid te misbruiken moet een aanvaller het slachtoffer een Rich Text Format (RTF) bestand of een speciaal geprepareerde mail in Microsoft Outlook laten openen, waarbij Microsoft Word als de emailviewer wordt gebruikt. Als het slachtoffer met een kwetsbare versie de e-mail of het document opent, kan de aanvaller willekeurige code op de computer uitvoeren en die in het ergste geval volledig overnemen.

Oplossing

In afwachting van de beveiligingsupdate om het probleem op te lossen heeft Microsoft een Fix-it oplossing beschikbaar gesteld. Het gaat om een vrij rigoureuze oplossing, omdat de fix ervoor zorgt dat RTF-content niet meer in Word kan worden geopend. Een andere oplossing is het gebruik van de gratis Microsoft Enhanced Mitigation Experience Toolkit (EMET). Als gebruikers deze tool hebben ingesteld om met Microsoft Office te werken zijn ze ook tegen misbruik van het lek beschermd.

Reacties (17)
25-03-2014, 09:52 door [Account Verwijderd] - Bijgewerkt: 25-03-2014, 09:53
[Verwijderd]
25-03-2014, 10:36 door [Account Verwijderd] - Bijgewerkt: 25-03-2014, 10:41
[Verwijderd]
25-03-2014, 10:56 door Spiff has left the building - Bijgewerkt: 25-03-2014, 11:07
Door Peter V., 09:52 uur:
Er is voor IE nog steeds geen patch
Over welk IE-lek heb je het precies?
Je hebt het toch niet over dít, neem ik aan?
https://www.security.nl/posting/378402/Waarschuwing+voor+nieuw+lek+in+Internet+Explorer+10
Daarvoor is na de tijdelijke Fix it oplossing
https://www.security.nl/posting/379006/Microsoft+fix+voor+ernstig+lek+in+IE9+en+IE10
op 11 maart de definitieve patch uitgebracht:
https://www.security.nl/posting/380696/Microsoft+dicht+dinsdag+lekken+in+Windows%2C+IE+en+Silverlight
Heb je het over een ánder IE-lek, dan is me even ontschoten wat je kunt bedoelen.

O, of je doelde misschien híerop?
https://www.security.nl/posting/381427/IE11%2C+Firefox%2C+Safari%2C+Flash+Player+en+Adobe+Reader+gehackt
Dat zal met de patchronde van april gepatcht worden, vermoed ik.
Gezien het feit dat het een lek betreft dat tijdens Pwn2Own is gebleken maar nog niet wordt misbruikt, zal Microsoft er vast geen noodpatch voor uitbrengen, maar het op de reguliere patchdag verhelpen.
25-03-2014, 11:43 door [Account Verwijderd] - Bijgewerkt: 25-03-2014, 11:45
[Verwijderd]
25-03-2014, 11:53 door Spiff has left the building
Door Peter V., 11:43 uur:
Zoals je al zelf aangaf gaat het over het lek in IE dat tijdens de laatste Pwn2Own werd gevonden.
Microsoft heeft m.i. nog niets gedicht.
Dat klopt uiteraard.
Dat was van net na de patchdag van maart, en gezien het feit dat dat lek tijdens Pwn2Own is gebleken maar nog niet wordt misbruikt, zal Microsoft er vast geen noodpatch voor uitbrengen, maar het op de reguliere patchdag verhelpen.
En dat is natuurlijk geen nieuws, want zo is Microsoft's patch-beleid, zoals we weten.
Ik verdedig dat overigens niet, noch val ik dat aan, ik constateer slechts dat dat bekend Microsoft beleid is.
25-03-2014, 12:03 door Anoniem
Niet om het één of ander, maar een Office lek patchen is wel wat anders dan puur een browserlek dichten. Denk even aan alle versies die nog in omloop zijn omdat gebruikers te beroerd zijn om een upgrade uit te voeren - wat dus uitgebreid testen vereist, en de ontelbare Office add-ins die in omloop zijn en die natuurlijk ook niet mogen omvallen na de patch. Niet vergelijkbaar mijns inziens met een Chrome patch, Firefox patch of "lager niveau" onderdeel.
25-03-2014, 12:35 door Anoniem
Door Spiff:
Door Peter V., 11:43 uur:
Zoals je al zelf aangaf gaat het over het lek in IE dat tijdens de laatste Pwn2Own werd gevonden.
Microsoft heeft m.i. nog niets gedicht.
Dat klopt uiteraard.
Dat was van net na de patchdag van maart, en gezien het feit dat dat lek tijdens Pwn2Own is gebleken maar nog niet wordt misbruikt, zal Microsoft er vast geen noodpatch voor uitbrengen, maar het op de reguliere patchdag verhelpen.
En dat is natuurlijk geen nieuws, want zo is Microsoft's patch-beleid, zoals we weten.
Ik verdedig dat overigens niet, noch val ik dat aan, ik constateer slechts dat dat bekend Microsoft beleid is.
Het hele punt is juist, dat Microsoft een vreselijk slecht patch beleid heeft. Dat verdedig je niet met "zo is Microsoft's patch-beleid", daarmee herhaal je alleen het probleem.
25-03-2014, 13:08 door Anoniem
Met aanvullende precieze ernst
(en iets meer aandacht voor de Mac Os X gebruikers)

Info : Security TechCenter - Microsoft Security Advisory (2953095)
http://technet.microsoft.com/en-us/security/advisory/2953095

"The vulnerability could allow remote code execution if a user opens a specially crafted RTF file using an affected version of Microsoft Word,.."
- Moet dan ook je Word applicatie al besmet zijn?
- Hoe vindt die infectie van de Word applicatie dan plaats?

".. or previews or opens a specially crafted RTF email message in Microsoft Outlook while using Microsoft Word as the email viewer."
- Dus alleen wanneer je outlook als emailclient gebruikt?
Lang niet iedereen gebruikt outlook, zeker niet op de Mac,
dat scheelt alweer.

"An attacker who successfully exploited the vulnerability could
gain the same user rights as the current user.
Customers whose accounts are configured to have fewer user rights on the system could be less impacted than those who operate with administrative user rights. "
- Kijk; weer eens geïllustreerd waarom je niet standaard onder een administrator account moet werken.
Welke lezer hier doet dat nog?
- Aan de slag : standaard account erbij en switchen maar.

"Applying the Microsoft Fix it solution, "Disable opening RTF content in Microsoft Word," prevents the exploitation of this issue through Microsoft Word."
- Wat betreft de Mac is zeer waarschijnlijk het openen van .rtf files standaard toegewezen aan TextEdit application.
Check het even door een rtf file te zoeken, het éénmaal aan te klikken, informatie oproepen (met cmd i commando) en te kijken welke applicatie om te openen daar standaard staat vermeld.
Wanneer het toch Ms Office is kan je dat veranderen door een andere applicatie te kiezen (TextEdit in dit geval).

Tip: Wat veel Mac gebruikers niet weten is dat je met dit kleine standaard programmaatje prima tekstjes kan opmaken, simpel en lichtgewicht voor heel veel geschikt ; kijk er eens naar, je leert het zo.

Nog eens door Microsoft samengevat :
"An attacker who successfully exploited this vulnerability could gain the same user rights as the current user.
Customers whose accounts are configured to have fewer user rights on the system could be less impacted than those who operate with administrative user rights."


Kwetsbaarheid geldt dus alléén voor Mac Office versie van 2011.

Zie overigens nog genoeg Mac gebruikers met Office versies 2008 en zelfs 2004 werken, mocht dat voor jou - lezer - gelden, kijk dan toch eens uit naar bijvoorbeeld het gratis LibreOffice voor Mac.
Want die andere oude Office versies zijn nu wel niet kwetsbaar, ze worden ook niet meer ondersteund met security fixes (even vooruitlopend op volgende Office zero days, maar maak je ook niet al tè druk).
Het LibreOffice pakket is gratis en wordt ondersteund op de meeste OS X systemen.

Belangrijk gemist punt in de advisory : de geboden oplossing in de vorm van het gebruik van EMET werkt natuurlijk niet voor de Mac!!
Niet zo belangrijk (?) een oplossing voor Mac gebruikers te bieden of hadden ze gewoonweg geen idee wat Mac gebruikers dan kunnen doen?

Nog een reden om bijvoorbeeld op zijn minst LibreOffice erbij te nemen, het went snel.
Voor standaard gebruikers vallen de kleine schoonheidsissues aangaande lay out veranderingen bij uitwisseling van doumenten wel mee (kies niet standaard voor extensie .odf maar wel voor .doc), maar soms is het gedoe, wat je overigens ook tussen MsOffice versies en gebruikers onderling kunt hebben.
Goed opmaken van teksten blijft voor velen lastig, los van gebruikte software; helaas onontkoombaar.

LibreOffice voor de Mac
https://nl.libreoffice.org/
https://nl.libreoffice.org/download/?type=mac-x86&version=4.2.2&lang=nl
(of een andere taal natuurlijk)
25-03-2014, 13:22 door Anoniem
Door Peter V.: Er is voor IE nog steeds geen patch, en nu dit weer? Ik begin mij echt af te vragen waarom andere bedrijven supersnel een patch kunnen uitrollen en dat je bij Microsoft ik-weet-niet-hoe-lang-moet-wachten voordat een patch verschijnt.
Omdat deze kwetsbaarheid in IE onder de noemer "responsible disclosure" valt en niet actief misbruikt wordt in het wild. Als je dit Word-lek vergelijkt met bedrijven als Oracle of een OS in de Unix-hoek (Mac ook trouwens) is de patch-cyclus uitermate snel. Bij actief misbruikte MS-lekken wordt er ook vrijwel altijd direct een Fix-it uitgebracht. En veruit de meeste malware gebruikt sowieso pas kwetsbaarheden ná het uitrollen van een patch (reverse engeneering).


Door Krakatau:Is het trouwens iemand meer opgevallen dat Java dit jaar niet in de Pwn2Own lijst stond? Goed werk van Oracle!
Dan moet je beter kijken, VUPEN heeft op het laatste moment aangegeven dat de Java plug-in-hack niet werd gebruikt, waarschijnlijk vanwege het lage prijzengeld dat daar tegenover stond. Op de vrije markt kunnen ze daar veel meer voor vangen ;]


Door Anoniem: Niet om het één of ander, maar een Office lek patchen is wel wat anders dan puur een browserlek dichten. Denk even aan alle versies die nog in omloop zijn omdat gebruikers te beroerd zijn om een upgrade uit te voeren - wat dus uitgebreid testen vereist, en de ontelbare Office add-ins die in omloop zijn en die natuurlijk ook niet mogen omvallen na de patch. Niet vergelijkbaar mijns inziens met een Chrome patch, Firefox patch of "lager niveau" onderdeel.
+1
25-03-2014, 13:28 door Anoniem
Door Krakatau: Google doet dat beter en sneller.
Wel eens van Android gehoord?
25-03-2014, 13:36 door Spiff has left the building
Door Anoniem, 12:35 uur:
Het hele punt is juist, dat Microsoft een vreselijk slecht patch beleid heeft.
Dat verdedig je niet met "zo is Microsoft's patch-beleid", daarmee herhaal je alleen het probleem.
Maar ik verdedigde dat dan ook niet, meen ik toch?
Ik schreef:
Door Spiff, 11:53 uur:
Ik verdedig dat overigens niet, [...] ik constateer slechts dat dat bekend Microsoft beleid is.
25-03-2014, 15:49 door Anoniem
Wie EMET zo heeft ingesteld dat het ook met Microsoft Office werkt, is veilig.
Helaas, heb ik de Caller functie voor Microsoft Office moeten uitschakelen, anders wordt Word en Excel
voortdurend door EMET uitgeschakeld.
Een dilemma dus.
25-03-2014, 18:14 door Anoniem
Door Krakatau:
Is het trouwens iemand meer opgevallen dat Java dit jaar niet in de Pwn2Own lijst stond? Goed werk van Oracle!

Zijn gedegradeerd naar derde divisie. Is te makkelijk. Te duur.
25-03-2014, 20:32 door [Account Verwijderd] - Bijgewerkt: 25-03-2014, 20:34
[Verwijderd]
26-03-2014, 02:11 door Anoniem
@Gisteren, 13:08 door Anoniem

Je kunt wel reclame maken voor LibreOffice, maar dat is een duiveltje in een doosje. Het ligt voor de hand dat Microsoft Office inmiddels intrinsiek minder lekken bevat dan LibreOffice. LibreOffice maakt gebruik van libraries die niet van de beste kwaliteit zijn. Dat heeft grote invloed op het aantal lekken. De stabiliteit van LibreOffice is ook niet beter dan Microsoft Office, en dat heeft vaak een voorspellende waarde op het aantal lekken.

In de praktijk is het gebruik van LibreOffice alleen veiliger als de tegenstander daar niet van op de hoogte is. Het gaat hier tenslotte om doelgerichte aanvallen, dat wil zeggen: speciaal geprepareerde exploits (vaak zero day) ingezet bij specifieke doelen.
26-03-2014, 22:28 door Anoniem
Door Anoniem: @Gisteren, 13:08 door Anoniem

Je kunt wel reclame maken voor LibreOffice,

Als EMET voor Windows een security oplossing is, dat niet op de Mac werkt, dan is het het overwegen waard
even of misschien zelfs definitief te werken met een ander of nieuwer Office pakket danwel een andere teksteditor op de Mac.

Er is boven Office 2011 geen nieuwer Office pakket voor de Mac beschikbaar dat een oplossing biedt (of wel?) :
Office for Mac 2013 bestaat niet voor de Mac en wat ik lees over Mac Office 365 is dat het feitelijk Office 2011 betreft onder een ander Licentie model.
Of heeft Ms het in de 2011 variant Office 365 dan wel verholpen en zou je dan feitelijk alleen betalen voor extra security support? Hoe zit dat?
Wie het weet mag het zeggen, vooralsnog gaat je dat dan jaarlijks extra geld kosten want je zit dan voortaan vast aan een abonnements model, dat moet je willen.

Voor de kwetsbaarheid in Word for Mac 2011 is nu geen patch beschikbaar.
Over de vorm van het soort misbruik is weinig informatie, ook niet voor de Mac, maar laten we het wel serieus nemen en kijken naar een veilige (korte of lange termijn) oplossing; dat probeerde ik eerder hier te doen door met een workaround in de vorm van bijvoorbeeld alternatieven (meervoud) te komen.

In alternatieve teksteditors of Office pakketten voor de Mac schijnt de kwetsbaarheid niet te werken, en inderdaad ook niet in de niet meer ondersteunde Mac Offices 2008 en 2004 (dan zou je in sommige gevallen moeten downgraden, denk niet dat gebruikers dat gaan doen).

Andere Offices of teksteditor, dan heb je o.m. de keuze uit gebruik van bijvoorbeeld :

- Apple's teksteditor TextEdit voor je .rtf of zelfs je .doc files. Maar het is maar een heel basic editor-tje.
- LibreOffice, een zelfstandig gratis en open source Office pakket waarmee heel goed te werken valt.

Eerder niet genoemd maar dan nog even door om de reclame associatie wat te limiteren ;-) :

- iWork van Apple zelf met o.a. de tekstverwerker Pages.
- OpenOffice dat vergelijkbaar is met LibreOffice (verschillen met voor en tegens laat ik aan anderen uit te leggen).


"LibreOffice, maar dat is een duiveltje in een doosje."

Vind het wel een leuke vergelijking maar ik kan het niet zo plaatsen.
Heb nog geen duiveltjes zien springen op de Mac, maar de-installeer inderdaad en bij voorkeur zaken als ze een onwenselijk hoog 'Doos van Pandora' gehalte hebben (vul zelf maar in stilte in, accenten liggen voor iedereen anders ;-).
Als het niet veilig is of ongebruikt gaat het eraf, wel zo veilig, kan misschien ook voor Office pakketten gelden (?) ; Mijn aandacht heb je.

Daarnaast lees ik namelijk eigenlijk nooit iets over kwetsbaarheden in LibreOffice, dat komt niet door gebrek aan interesse overigens.
Nieuwsgierigheid in positieve zin is gewekt.

Alvast een zoektocht in de nieuwsberichten op Security.nl geeft geen resultaten voor LibreOffice, wel nog een oud bericht gevonden aangaande OpenOffice, daarnaast een heleboel resultaten als het gaat over MsOffice of MsWord
(zou dat alleen maar aan de keuze van de redactie liggen? Het zou kunnen hoor, ik weet het niet).
Op het internet vind ik wel wat resultaten van exploits, kwetsbaarheden voor LibreOffice die dan ook weer gepatched zijn.
Ms patched haar Office ook dus beiden werken aan security.

Het verschil dat overblijft is dat als je zit met een MsOffice waar niet gepatchte kwetsbaarheden in zitten of een MsOffice versie die gewoonweg niet meer supported is (Office for Mac 2004 / 2008) het te overwegen is om te kijken naar gebruik van een Office pakket of tekstverwerkings programma dat op zijn minst wèl supported is of op dit moment in ieder geval veilig te gebruiken is omdat de MsWord exploit daarin niet werkt.

'No harm done' als je er dan voor kiest om een tweede pakket (al dan niet tijdelijk, en hey; LibreOffice is gratis) erbij te gebruiken of het één door het ander te vervangen, dat is uiteindelijk aan de gebruiker zelf.
Heel praktisch werkbaar en een oplossing bij gebrek aan 'officiële' security oplossingen voor de Mac.

Het ligt voor de hand dat Microsoft Office inmiddels intrinsiek minder lekken bevat dan LibreOffice. LibreOffice maakt gebruik van libraries die niet van de beste kwaliteit zijn. Dat heeft grote invloed op het aantal lekken.

Wat betreft je verhaal over de kwetsbaarheden in LibreOffice ben ik wel benieuwd naar een meer specifieke onderbouwing.
Niet met als doel om het te kunnen bestrijden of neer te sabelen, niet voor het welles/nietes, maar om ervan te leren of het op zijn minst inhoudelijk te kunnen beoordelen.

Zou je de onderbouwende info willen delen?
Het scheelt mij en anderen ook wat zoekwerk naar de info waar je op doelt.
Dit mede in het kader van een betere afweging bij het vergelijken van pakketten of misschien wel voor het werken aan oplossingen voor de problemen die jij ziet of hebt gelezen.

Volgens mij zijn hier best heel wat lezers die LibreOffice gebruiken en is het voor iedereen interessant om te weten wat LibreOffice eventueel dan zo kwetsbaar maakt onder Windows, Linux & Mac OS X.

Kunnen we daarna kiezen : MsOffice, of LibreOffice, of,.. , of een combinatie natuurlijk!

Alvast bedankt,
Ben Benieuwd
30-03-2014, 13:04 door Anoniem
Mac Word 2011
Ietsje later, overlappende vaststellingen
http://www.thesafemac.com/beware-opening-rtf-files-in-office-2011/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.