image

"Macro’s worden grotere dreiging dan Flash Player"

zaterdag 23 april 2016, 07:07 door Redactie, 18 reacties

Macro’s in Microsoft Office-documenten die malware op computers installeren worden een grotere dreiging dan Adobe Flash Player, zo stelt Mikko Hypponen, Chief Research Officer van het Finse anti-virusbedrijf F-Secure, in een interview met Security.NL.

Macro’s laten Office-gebruikers allerlei taken automatiseren. Via macro's in een document is het echter ook mogelijk om ongezien malware te downloaden en op de computer te installeren. In de vorige eeuw waren er al virussen die zich via macro’s in Office-documenten konden verspreiden. Vanwege het beveiligingsrisico besloot Microsoft om macro’s in documenten niet standaard uit te voeren. In het geval een document een macro bevat krijgt de gebruiker tegenwoordig een melding te zien of hij de macro wil inschakelen.

Internetcriminelen ontdekten dat dit niet altijd een obstakel hoeft te zijn, aangezien er ook gebruikers zijn die hier gehoor aan geven. Het gebruik van macro-malware kwam begin dit decennium nog op beperkte schaal voor, zoals een Excel Sudoku uit 2012 met een kwaadaardige macro. Begin januari 2014 besloot het Nationaal Cyber Security Center (NCSC) van de overheid een waarschuwing voor macro-malware af te geven, omdat de tactiek weer op grotere schaal werd toegepast. Inmiddels zijn we goed twee jaar verder en worden kwaadaardige macro’s zowel voor cyberspionage, cybersabotage als ransomware gebruikt.

Drive-by downloads

Het gebruik van macro’s is niet de enige manier waardoor computers geïnfecteerd raken. Drive by-downloads, waarbij een computer via een beveiligingslek in bijvoorbeeld de browser of browserplug-in besmet raakt, is ook nog steeds een beproefde methode, aldus Hypponen. Hij stelt dat 70% van alle Windowsinfecties op deze manier plaatsvindt. Het gaat dan vooral om exploitkits die misbruik van kwetsbaarheden in Adobe Flash Player, Internet Explorer of Silverlight maken. Zodra een gebruiker met een verouderde Flash Player-versie op een gehackte website terechtkomt of een besmette advertentie te zien krijgt, kan er automatisch malware worden geïnstalleerd.

Hypponen verwacht echter dat dit beeld de komende twee jaar gaat veranderen. "Onze systemen worden steeds lastiger aan te vallen via exploitkits. Browsers worden beter beveiligd. Niemand maakt meer gebruik van QuickTime of Microsoft Silverlight. Java is inmiddels gestorven en Flash is aan het sterven. Aanvallers zoeken dan ook naar nieuwe manieren. En hoewel niet eenvoudig, zijn macro’s de makkelijkste manier die overblijft."

Windows XP

Windows XP heeft echter laten zien dat veel gebruikers met verouderde software blijven werken. Hypponen denkt dat een zelfde soort scenario niet voor Flash Player opgaat. “Flash is aan het sterven en hopelijk zal het binnen twee jaar dood zijn. Natuurlijk zal er een verloop zijn, maar voor doorsnee internetgebruik zou het snel moeten verdwijnen." Hij verwacht ook niet dat aanvallers op HTML5 zullen overstappen. De technologie moet browserplug-ins zoals Flash Player vervangen. Het staat daarnaast standaard in alle moderne browsers ingeschakeld. Volgens de Finse beveiligingsexpert is het echter zeer lastig om HTML5 aan te vallen en zo malware op computers te installeren. "Internetcriminelen zullen het misschien proberen, maar het zal niet eenvoudig zijn."

Op de vraag of Microsoft, nu kwaadaardige macro’s vaker zullen worden ingezet, niet meer zou moeten doen om gebruikers te beschermen stelt Hypponen dat de softwaregigant zich van het probleem bewust is. Zo heeft Microsoft herhaaldelijk voor macro-malware gewaarschuwd en adviseert om macro’s uit te schakelen. Hypponen wijst verder naar Office 2016, dat over betere manieren beschikt om met macro’s om te gaan. "Er zijn echter nog weinig mensen die Office 2016 gebruiken", zo merkt hij op.

Gebruikers

Een ander veel gegeven advies is dat gebruikers geen macro’s moeten openen. Hypponen is echter somber gesteld dat dit het probleem zal oplossen. "Gebruikers leren het nooit. Het trainen van gebruikers is tijdverspilling. Mensen zullen altijd op elke knop klikken, elke link openen en elk programma uitvoeren." Hypponen adviseert organisaties dan ook om Office-documenten met macro’s op de gateway te filteren. Voor eindgebruikers heeft hij ook nog een boodschap: "Stop eens met het klikken op de "Inhoud inschakelen" knop, verdorie!”

Reacties (18)
23-04-2016, 10:40 door superglitched
Marco virussen waren in de begintijd van Office enorm populair. Het is toch wel bijzonder te noemen dat Microsoft zijn zaakjes nog steeds niet op orde heeft. Ik ken zelf geen mensen die macro's in Word (wel Excel) gebruiken, zie daarom geen reden om ze niet permanent uit te schakelen.
23-04-2016, 11:42 door Anoniem
Gelukkig is er een oplossing om macro-virussen onschadelijk te maken.

Het bestaat al sinds Windows-XP.

Kijk hier: http://www.hpl.hp.com/techreports/2004/HPL-2004-221.html

Jammer alleen dat niemand er wat mee gedaan heeft....
23-04-2016, 12:57 door Rolfieo
Door superglitched:Het is toch wel bijzonder te noemen dat Microsoft zijn zaakjes nog steeds niet op orde heeft.
Op waarop baseer je dit? Microsoft heeft juist diverse dingen gedaan om marco's niet meteen te laten uitvoeren bij het openen.
Een nadeel is alleen dat gebruikers daar weer hinder van kunnen vinden, dus allemaal weer lastig.
En de meeste gebruikers klikken toch ook weer overal op. Dus iedere beveiliging is weer te omzeilden door een eind gebruiker

Ik ken zelf geen mensen die macro's in Word (wel Excel) gebruiken, zie daarom geen reden om ze niet permanent uit te schakelen.
Das mooi dat jij zelf geen mensen kent.... Dat wil niet zeggen dat het niet gebruikt wordt. Het wordt nog heel veel gebruikt kan ik je zeggen. Als men dit zou verwijderen, dan valt er bij veel bedrijven een hoop om.

En er is eigenlijk een goede oplossing, gewoon disablen, en alleen gesignde marco's uitvoeren.
24-04-2016, 08:47 door karma4
Macro-s zijn het levenselixer for bedrijven. De eenvoudige reden is dat de ICT de gewenste functionliteit niet levert. Men moet het zelf maar zien op te lossen. Bedrijfstemplates office add-ins het is een aparte ICT wereld geworden.
Werkprocessen met invulformulieren waar je een aanvraag mee doet zie je vaak als word-doc opgezet worden. Je kunt dat invulbare naar PDF omzetten https://acrobat.adobe.com/nl/nl/how-to/create-fillable-pdf-forms-creator.html Je kan het met Lotus-Notes doen met mail met html/webpage etc.
Wil je het via OSS hebben ,libre office, dan heb is er Wollmux http://www.wollmux.net/wiki/Main_Page

Het maakt op zich weinig uit, het is de cultuur er wordt een taak naar een ander verstuurd die het moet gaan invullen (weigeren niet toegestaan). Dit lijkt me menselijk gedrag te zijn, niets technisch: "anderen willen commanderen"

Typisch:
"Gebruikers leren het nooit. Het trainen van gebruikers is tijdverspilling. Mensen zullen altijd op elke knop klikken, elke link openen en elk programma uitvoeren." Hypponen adviseert organisaties dan ook om Office-documenten met macro’s op de gateway te filteren. Voor eindgebruikers heeft hij ook nog een boodschap: "Stop eens met het klikken op de "Inhoud inschakelen" knop, verdorie!”
Voor bedrijven met een echte ICT is het niet te moeilijk om aan te pakken.

Door Anoniem: Gelukkig is er een oplossing om macro-virussen onschadelijk te maken. Het bestaat al sinds Windows-XP.
"Polaris allows users to configure most applications so that they launch with only the rights they need to do the job the user wants done." Daar heb je geen tool voor nodig, alleen een goede security invulling. Er staat niets meer dan dan je iemand meer rechten moet geven dan hij voor zijn werk nodig heeft (least needed privileges). Al tientallen jaren het credo bij een security inrichting. In de praktijk is het meer alles open laten uit gemak omdat het dan wel werkt. Let op: "wel werkt"!
24-04-2016, 09:46 door superglitched - Bijgewerkt: 24-04-2016, 11:06
Door Rolfieo:
Door superglitched:Het is toch wel bijzonder te noemen dat Microsoft zijn zaakjes nog steeds niet op orde heeft.
Op waarop baseer je dit? Microsoft heeft juist diverse dingen gedaan om marco's niet meteen te laten uitvoeren bij het openen.
Microsoft macro codes die de ongewenste bedoelingen hebben duiken weer op, daarop baseer ik dat. Tel daarop dat: kwaadaardige macro's vaak functionaliteiten gebruiken die veel mensen niet nodig hebben, denk bijv aan het bewerken van systeembestanden, registry hives, andere files uitlezen en data kunnen sturen naar een willekeurig online IP.

Dat Microsoft goede stappen heeft genomen om macro aanvallen tegen te gaan is gewoon pertinent onjuist. Anders zou het nu niet weer zo'n probleem zijn geweest. Lees ook eens onderstaande, hoe oude technieken weer worden gebruiken om hetzelfde te bereiken (bijv. AutoExec), Microsoft weet donders goed dat mensen die waarschuwingsbalk negeren omdat ze massaal getraind zijn om waarschuwingen weg te drukken. Niet dat ik het kwalijk neem, want features om daarmee klanten te binden gaan bijna altijd voor echt goede security in alle takken van IT sport. Maar niemand kan nog beweren dat Microsoft er genoeg aan doet om Macro aanvallen tegen te gaan:

http://blog.trendmicro.com/trendlabs-security-intelligence/macro-malware-when-old-tricks-still-work-part-1/
24-04-2016, 10:44 door Anoniem
Door superglitched: Ik ken zelf geen mensen die macro's in Word (wel Excel) gebruiken, zie daarom geen reden om ze niet permanent uit te schakelen.
Dan zegt dat meer over de mensen die jij kent. Gebruik xl marco's vrij regel matig en ook collega's maken ook marco's. Dit zijn wel eigen gemaakte macro's.
24-04-2016, 11:06 door Anoniem
Door Rolfieo:
En er is eigenlijk een goede oplossing, gewoon disablen, en alleen gesignde marco's uitvoeren.

Signen van macro's en andere software is een totaal nutteloze operatie als deze signing kan worden uitgevoerd door
de ontwikkelaar en niet wordt neergelegd bij een onafhankelijk clearinghouse wat alleen software signed die OK is.
24-04-2016, 11:08 door superglitched - Bijgewerkt: 24-04-2016, 11:10
Door Anoniem:
Door superglitched: Ik ken zelf geen mensen die macro's in Word (wel Excel) gebruiken, zie daarom geen reden om ze niet permanent uit te schakelen.
Dan zegt dat meer over de mensen die jij kent. Gebruik xl marco's vrij regel matig en ook collega's maken ook marco's. Dit zijn wel eigen gemaakte macro's.
Dat zegt helemaal niets, behalve iets over uw leesvermogen. Het gaat over Word, niet Excel.
24-04-2016, 11:59 door superglitched
Door Anoniem:
Door Rolfieo:
En er is eigenlijk een goede oplossing, gewoon disablen, en alleen gesignde marco's uitvoeren.

Signen van macro's en andere software is een totaal nutteloze operatie als deze signing kan worden uitgevoerd door
de ontwikkelaar en niet wordt neergelegd bij een onafhankelijk clearinghouse wat alleen software signed die OK is.
Probleem is vaak ook dat mensen hun eigen macro's willen maken (of bestaande aanpassen) en dan ineens waarschuwingen krijgen die ze gaan negeren.
24-04-2016, 15:57 door Rolfieo
Door Anoniem:
Door Rolfieo:
En er is eigenlijk een goede oplossing, gewoon disablen, en alleen gesignde marco's uitvoeren.

Signen van macro's en andere software is een totaal nutteloze operatie als deze signing kan worden uitgevoerd door
de ontwikkelaar en niet wordt neergelegd bij een onafhankelijk clearinghouse wat alleen software signed die OK is.
Daarom worden juist certificaten gebruikt..... En die moet je vertrouwen. Dus of public signed certificaten, of een eigen interne PKI hiervoor gebruiken.

Probleem opgelost....

Door superglitched:
Door Anoniem:
Door superglitched: Ik ken zelf geen mensen die macro's in Word (wel Excel) gebruiken, zie daarom geen reden om ze niet permanent uit te schakelen.
Dan zegt dat meer over de mensen die jij kent. Gebruik xl marco's vrij regel matig en ook collega's maken ook marco's. Dit zijn wel eigen gemaakte macro's.
Dat zegt helemaal niets, behalve iets over uw leesvermogen. Het gaat over Word, niet Excel.

Het zegt juist wel iets over jouw gebruikers groep. Maar mijn gebruikers groep gebruikt ze wel. Zowel Word als Excel. Dus......

Door superglitched:
Door Anoniem:
Door Rolfieo:
En er is eigenlijk een goede oplossing, gewoon disablen, en alleen gesignde marco's uitvoeren.

Signen van macro's en andere software is een totaal nutteloze operatie als deze signing kan worden uitgevoerd door
de ontwikkelaar en niet wordt neergelegd bij een onafhankelijk clearinghouse wat alleen software signed die OK is.
Probleem is vaak ook dat mensen hun eigen macro's willen maken (of bestaande aanpassen) en dan ineens waarschuwingen krijgen die ze gaan negeren.

Dat kan toch steeds? Certificaat gewoon importeren en je kunt ze weer gebruiken.

Is het signen van de certificaten de perfecte oplossing, nee. Maar die bestaat ook niet, alles heeft impact op de gebruikers en bedrijfsprocessen.
25-04-2016, 09:10 door Anoniem
Door Rolfieo:
Door Anoniem:
Door Rolfieo:
En er is eigenlijk een goede oplossing, gewoon disablen, en alleen gesignde marco's uitvoeren.

Signen van macro's en andere software is een totaal nutteloze operatie als deze signing kan worden uitgevoerd door
de ontwikkelaar en niet wordt neergelegd bij een onafhankelijk clearinghouse wat alleen software signed die OK is.
Daarom worden juist certificaten gebruikt..... En die moet je vertrouwen. Dus of public signed certificaten, of een eigen interne PKI hiervoor gebruiken.

Probleem opgelost....

Er is helemaal NIETS opgelost! Signen van een stuk code zegt NIETS over de inhoud ervan omdat het door dezelfde
persoon/partij gedaan wordt die de code ook schrijft. Dan kun je er nog zo veel certificaten overheen gooien, het
vertrouwen blijft hetzelfde als wanneer je het gewoon aanpakt.
25-04-2016, 10:36 door Rolfieo
Door Anoniem:
Door Rolfieo:
Door Anoniem:
Door Rolfieo:
En er is eigenlijk een goede oplossing, gewoon disablen, en alleen gesignde marco's uitvoeren.

Signen van macro's en andere software is een totaal nutteloze operatie als deze signing kan worden uitgevoerd door
de ontwikkelaar en niet wordt neergelegd bij een onafhankelijk clearinghouse wat alleen software signed die OK is.
Daarom worden juist certificaten gebruikt..... En die moet je vertrouwen. Dus of public signed certificaten, of een eigen interne PKI hiervoor gebruiken.

Probleem opgelost....

Er is helemaal NIETS opgelost! Signen van een stuk code zegt NIETS over de inhoud ervan omdat het door dezelfde
persoon/partij gedaan wordt die de code ook schrijft. Dan kun je er nog zo veel certificaten overheen gooien, het
vertrouwen blijft hetzelfde als wanneer je het gewoon aanpakt.

Het zegt juist een heel hoop.... Immers ik vertrouw het certificaat van een persoon. Dus ik kan de code van die persoon ook vertrouwen. Wat de code exact doet is niet van toepassing hierop en gaat mij ook niets aan.
Ik vertrouw dat die persoon geen kwaadwillige bedoelingen heeft, want we hebben een vertrouwensrelatie (het is een leverancier, of een intern persoon).
Vreemde certificaten komen er niet in, en kan de vreemde code dus ook niet uitgevoerd worden. Virus probleem opgelost.

als wanneer je het gewoon aanpakt.
Hoe had jij dit gezien? Aangezien vele bedrijven niet zonder marco's kunnen?
26-04-2016, 14:08 door Anoniem
Door superglitched:
Door Rolfieo:
Door superglitched:Het is toch wel bijzonder te noemen dat Microsoft zijn zaakjes nog steeds niet op orde heeft.
Op waarop baseer je dit? Microsoft heeft juist diverse dingen gedaan om marco's niet meteen te laten uitvoeren bij het openen.
Microsoft macro codes die de ongewenste bedoelingen hebben duiken weer op, daarop baseer ik dat. Tel daarop dat: kwaadaardige macro's vaak functionaliteiten gebruiken die veel mensen niet nodig hebben, denk bijv aan het bewerken van systeembestanden, registry hives, andere files uitlezen en data kunnen sturen naar een willekeurig online IP.

Dat Microsoft goede stappen heeft genomen om macro aanvallen tegen te gaan is gewoon pertinent onjuist. Anders zou het nu niet weer zo'n probleem zijn geweest. Lees ook eens onderstaande, hoe oude technieken weer worden gebruiken om hetzelfde te bereiken (bijv. AutoExec), Microsoft weet donders goed dat mensen die waarschuwingsbalk negeren omdat ze massaal getraind zijn om waarschuwingen weg te drukken. Niet dat ik het kwalijk neem, want features om daarmee klanten te binden gaan bijna altijd voor echt goede security in alle takken van IT sport. Maar niemand kan nog beweren dat Microsoft er genoeg aan doet om Macro aanvallen tegen te gaan:

http://blog.trendmicro.com/trendlabs-security-intelligence/macro-malware-when-old-tricks-still-work-part-1/

Omdat iemand een verkeer gedrag heeft aangeleerd is Microsoft fout, Wat ga je straks zeggen, Microsoft is verantwoordelijk voor 9-11? Lekker redenatie.

Het vrij eenvoudig om macro's te onderteken met een certificaat. Als je vervolgens instelt dat alle macro's moeten ondertekend zijn met een speciaal certificaat is, zullen virus macro's geen kans meer hebben
05-05-2016, 16:28 door superglitched - Bijgewerkt: 05-05-2016, 16:30
Door Anoniem:
Door superglitched:
Door Rolfieo:
Door superglitched:Het is toch wel bijzonder te noemen dat Microsoft zijn zaakjes nog steeds niet op orde heeft.
Op waarop baseer je dit? Microsoft heeft juist diverse dingen gedaan om marco's niet meteen te laten uitvoeren bij het openen.
Microsoft macro codes die de ongewenste bedoelingen hebben duiken weer op, daarop baseer ik dat. Tel daarop dat: kwaadaardige macro's vaak functionaliteiten gebruiken die veel mensen niet nodig hebben, denk bijv aan het bewerken van systeembestanden, registry hives, andere files uitlezen en data kunnen sturen naar een willekeurig online IP.

Dat Microsoft goede stappen heeft genomen om macro aanvallen tegen te gaan is gewoon pertinent onjuist. Anders zou het nu niet weer zo'n probleem zijn geweest. Lees ook eens onderstaande, hoe oude technieken weer worden gebruiken om hetzelfde te bereiken (bijv. AutoExec), Microsoft weet donders goed dat mensen die waarschuwingsbalk negeren omdat ze massaal getraind zijn om waarschuwingen weg te drukken. Niet dat ik het kwalijk neem, want features om daarmee klanten te binden gaan bijna altijd voor echt goede security in alle takken van IT sport. Maar niemand kan nog beweren dat Microsoft er genoeg aan doet om Macro aanvallen tegen te gaan:

http://blog.trendmicro.com/trendlabs-security-intelligence/macro-malware-when-old-tricks-still-work-part-1/

Omdat iemand een verkeer gedrag heeft aangeleerd is Microsoft fout, Wat ga je straks zeggen, Microsoft is verantwoordelijk voor 9-11? Lekker redenatie.

Het vrij eenvoudig om macro's te onderteken met een certificaat. Als je vervolgens instelt dat alle macro's moeten ondertekend zijn met een speciaal certificaat is, zullen virus macro's geen kans meer hebben
Het zal afhankelijk zijn van wie u het vraagt of ze vinden dat Microsoft genoeg verantwoordelijkheid neemt of niet. Daar is geen harde science aan het werk.

De praktijk is wel dat mensen macro's aanpassen, omdat ze even de BTW naar 21% willen zetten. IT kwam met mooie policies, maar ging na verloop van tijd de rechten wat versoepelen, omdat mensen telkens bleven langskomen voor een nieuw certificaat. In theorie kunt u wel een mooi verhaal hier neerzetten, maar de praktijk is vaak anders.

U noemt hier een oplossing in techniek, maar het probleem is sociaal/menselijk.
10-05-2016, 16:13 door Anoniem
De problematiek ligt in het feit dat de meeste situatie's die malicieuze macro's een kans geven eigenlijk altijd pebcak-situaties zijn... Daar valt niet veel anders aan te doen dan een Cull. zichzelf onderwijzen wachten we al een paar decennia op en dat lijkt nog steeds niet op gang te komen...
11-05-2016, 09:56 door Rolfieo
Door superglitched:
De praktijk is wel dat mensen macro's aanpassen, omdat ze even de BTW naar 21% willen zetten. IT kwam met mooie policies, maar ging na verloop van tijd de rechten wat versoepelen, omdat mensen telkens bleven langskomen voor een nieuw certificaat. In theorie kunt u wel een mooi verhaal hier neerzetten, maar de praktijk is vaak anders.
Er zijn hiervoor ook weer verschillende dingen voor te bedenken. Gebruikers zelf te laten signen, of gewoon een goed proces inrichten.
Alternatief is de uitzonderingen goed te limiteren. Is het perfect, nee. Maar het is wel te doen.

U noemt hier een oplossing in techniek, maar het probleem is sociaal/menselijk.
Techniek kan je managen, gebruikers helaas niet. Techniek faalt niet met de Marco's, maar (sommige / veel) gebruikers zijn helaas hierin het probleem. Veel hebben geen verstand van Computers of ICT. Die klikken op de vensters omdat "er om gevraagd wordt". Helaas kan je dit 10 keer zeggen, maar meestal heeft dit toch geen nut.

De enige manier is dan afdwingen vanuit de techniek.....
20-05-2016, 09:26 door Anoniem
macro's eerst scannen, en offline gebruiken. Dan kan er in ieder geval geen malware worden gedownload.
24-05-2016, 13:13 door Anoniem
nog afgezien van het vertrouwen van macro's, gaat het in dit artikel erom dat macro's gebruikt worden als payload downloader.

dit betekent dus dat ofwel de malware in-memory actief is, ofwel wordt weggeschreven op schijf en dan wordt gestart. Gelukkig is voor het tweede geval een eenvoudige oplossing: Applocker + geen admin rechten.

het eerste geval is wat ingewikkelder te mitigeren.

Uiteindelijk gaat het erom dat, in tegenstelling tot flashplayer, waar gebruik gemaakt wordt van bugs in de software, met macro's de gewenste functionaliteit wordt aangesproken (namelijk het kunnen automatiseren van bepaalde taken). Hoe deze functionaliteit wordt gebruikt is geen lek, maar een risico.

Door bewust met risico's om te gaan, kun je beide situaties (proberen te) voorkomen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.