Documenten installeren backdoor via recent Office-lek
Een recent beveiligingslek in Microsoft Office dat in april werd gepatcht wordt al enkele weken actief aangevallen en gebruikt om een backdoor op Windowscomputers te installeren. Een probleem, want veel organisaties installeren geen beveiligingsupdates voor Microsoft Office of wachten hier erg lang mee.
Door het openen van een kwaadaardig document kan een aanvaller vervolgens malware op de computer installeren. Een tactiek die al jaren met succes wordt toegepast. Vorig jaar verrichte het Britse anti-virusbedrijf Sophos onderzoek (pdf) naar de kwetsbaarheden die aanvallers bij dit soort aanvallen gebruiken. Twee lekken, één uit 2010 en één uit 2012, werden door de meeste van de kwaadaardige documenten aangevallen. Ook uit andere onderzoeken blijkt dat de kwetsbaarheid uit 2012 het favoriete doelwit van aanvallers is.
Hoewel er voor het nu aangevallen Office-lek al zo'n vijf maanden een update beschikbaar is, is het de vraag hoeveel organisaties die hebben geïnstalleerd. Al voordat de patch van Microsoft verscheen werd de kwetsbaarheid aangevallen. Begin augustus zag Sophos echter een reeks documenten voorbij komen die van het lek gebruik proberen te maken. De documenten hebben onderwerpen als "WUPOS_update.doc", "ammendment.doc", "Information 2.doc" en "Anti-Money Laudering & Suspicious cases.doc".
In het geval de bestanden op een ongepatchte machine worden geopend zal de code in het document een backdoor genaamd Uwarrior op de computer installeren. Hiermee hebben de aanvallers volledige controle over de machine. Om infectie te voorkomen krijgen beheerders en gebruikers het advies om Office te patchen en geen onverwachte of ongevraagde documenten te openen. Vorige week waarschuwde IBM al dat e-mailbijlagen een comeback als aanvalsvector maken.
17-08-2015: Gedeeltelijke analyse die ik maakte na het vinden van een verdacht sample: http://blog.ropchain.com/2015/08/16/analysis-of-exploit-targeting-office-2007-2013-ms15-022/
20-08-2015: Eerste Fortinet blog post: http://blog.fortinet.com/post/the-curious-case-of-the-document-exploiting-an-unknown-vulnerability-part-1
24-08-2015: PaloAlto blog post: http://researchcenter.paloaltonetworks.com/2015/08/rtf-exploit-installs-italian-rat-uwarrior/
Het zou kunnen dat ze er zelfstandig achter zijn gekomen, maar laat zijn met publicatie. Ducklin beweert niet dat Sophos de eerste was. Het mag, maar het is niet fraai.
De Amerikanen doen het nog anders: die schrijven gerust "we discovered", maar dat betekent niet echt dat zij de ontdekkers zijn, in hun PR taal. De deksel van de pot afhalen is volgens hen een "discovery".
Een bedrijf als Sopos doet zijn research wat dat betreft beter, en zorgt ervoor dat, hoewel ze de analyse al hebben gedaan (timeframe van de samples) de uitwerking hiervan pas later wordt gepubliceerd.
Het valt me trouwens wel tegen dat deze methode niet al op black wednesday is gezien.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.