Office-onderdeel laat aanvaller code zonder macro's uitvoeren
Een onderzoeker waarschuwt Office-gebruikers voor een feature waardoor aanvallers kwaadaardige code via documenten kunnen uitvoeren, ook al staan macro's uitgeschakeld en het onderdeel is niet uit te schakelen. Elke Windows-versie van Microsoft Office bevat een feature waarmee het mogelijk is om content in documenten te embedden.
Het gaat onder andere om uitvoerbare content, zoals exe- en JavaScript-bestanden, zo laat onderzoeker Kevin Beaumont op de Full-disclosure mailinglist weten. De OLE Packager, zoals de feature heet, is sinds het begin van de jaren 1990 in de software van Microsoft aanwezig is. De feauture, die het embedden van content mogelijk maakt, werd in Windows 3.1 geïntroduceerd en werd tot en met Windows XP ondersteund. Alle Office-versies ondersteunen de feature nog. Om te voorkomen dat er misbruik van de feature wordt gemaakt gebruikt Microsoft een lijst met riskante bestandstypen.
Zodra een riskant bestandstype aan een document is toegevoegd laat de lijst een waarschuwing aan de gebruiker zien. Deze waarschuwing kan worden genegeerd, maar gebruikers kunnen tenminste zien dat het document riskante content bevat. Volgens Beaumont is de statische lijst echter niet up-to-date. Zo worden PowerShell- en andere uitvoerbare bestanden niet herkend en krijgen gebruikers daardoor geen waarschuwing. Zodoende is het mogelijk om via het openen van Office-bestanden code op de computer uit te voeren. Daarbij maakt het niet uit of macro's staan uitgeschakeld of dat er van High Security Templates gebruik wordt gemaakt.
Oplossing
Microsoft werd in maart van dit jaar over het probleem ingelicht en kreeg te horen dat aanvallers met de feature experimenteerden. Om wat voor aanvallers en aanvallen het precies gaat laat Beaumont niet weten. Wel zou Microsoft hem destijds hebben gevraagd om informatie over het probleem niet te publiceren. Uiteindelijk kreeg de onderzoeker te horen dat het om een feature van Office gaat en is het probleem nog altijd niet verholpen. Windows-gebruikers die Microsoft EMET hebben geïnstalleerd, een gratis tool om Windows mee te beveiligen, kunnen een regel voor Excel, Word en PowerPoint opnemen die voorkomt dat de feature kan worden uitgevoerd. Dit voorkomt echter ook legitiem gebruik van de feature
Deze onderzoeker heeft dan ook absoluut niks nieuws ontdekt. Security.NL zelf heeft in het verleden ook meermaals bericht van malware die misbruik van deze techniek maakt, zie bijvoorbeeld: https://www.security.nl/posting/368880/Trojaans+paard+verstopt+zich+in+RTF-document.
Windows-gebruikers die Microsoft EMET hebben geïnstalleerd, een gratis tool om Windows mee te beveiligen, kunnen een regel voor Excel, Word en PowerPoint opnemen die voorkomt dat de feature kan worden uitgevoerd. Dit voorkomt echter ook legitiem gebruik van de feature
Ik vraag me af of de standaard instellingen in EMET voor Word Exel en PowerPoint genoeg zijn of moet er nog iets extra worden toegevoegd in EMET om te voorkomen dat de feature wordt uitgevoerd
Ik vraag me af of de standaard instellingen in EMET voor Word Exel en PowerPoint genoeg zijn of moet er nog iets extra worden toegevoegd in EMET om te voorkomen dat de feature wordt uitgevoerd
De standaard instellingen van EMET bieden geen bescherming hier tegen. Je zal een custom ASR rule moeten aanmaken die voorkomt dat de packager.dll geladen kan worden. HitmanPro.Alert 3 biedt standaard wel bescherming.
De standaard instellingen van EMET bieden geen bescherming hier tegen. Je zal een custom ASR rule moeten aanmaken die voorkomt dat de packager.dll geladen kan worden. HitmanPro.Alert 3 biedt standaard wel bescherming.
He W.Spu tijd niet gezien. Bedankt voor de info
Ik ga dan een custom ASR rule aan te maken de voorkomt dat packager.dll geladen wordt. of HitmanPro.Alert 3 gebruiken. Echter is HitmanPro.alert 3 gratis of is dit een trial van een aantal dagen? Dit staat er namelijk niet bij http://www.surfright.nl/en/alert
HitmanPro.Alert is gratis. Een nadeel is dat het af en toe ook legitieme programma's bevriest. Overigens kun je problemen ook voorkomen door nooit zomaar te dubbelklikken in niet-vertrouwde documenten.
@_kraai__
HitmanPro.Alert is gratis. Een nadeel is dat het af en toe ook legitieme programma's bevriest. Overigens kun je problemen ook voorkomen door nooit zomaar te dubbelklikken in niet-vertrouwde documenten.
@ Anoniem 09-07-2015 17:54 uur
Bedankt voor de info! Inmiddels ben ik voor het instellen van een custom ASR rulle gegaan, aar ben wel aan het overwegen om over te stappen op HitmanPro.Alert. Moet wel even uitzoeken of dit samen gaat met mijn huidige AV. Niet dubbelklikken in niet-vertrouwde documenten helpt dus ook begrijp ik. Eventueel kan ook Linux mint opstarten mocht ik over een document twijfelen, dan kan zoverre ik weet een .exe bestand niet worden uitgevoerd.
Echter is HitmanPro.alert 3 gratis of is dit een trial van een aantal dagen? Dit staat er namelijk niet bij http://www.surfright.nl/en/alert
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.