Het is vandaag precies 5 jaar geleden dat Microsoft een beveiligingsupdate voor kwetsbaarheden in Office uitrolde, maar één van de toen gepatchte beveiligingslekken wordt in 2017 nog steeds aangevallen, wat aantoont hoe belangrijk het installeren van patches is. De kwetsbaarheid wordt aangeduid met de code CVE-2012-0158 en is aanwezig in Office 2003, 2007 en 2010 voor Windows.

Via het beveiligingslek kan een aanvaller in het ergste geval een Windowscomputer volledig overnemen als er met een kwetsbare versie van Office een kwaadaardig document wordt geopend. Hoewel de update al geruime tijd beschikbaar is vinden er nog geregeld aanvallen plaats waarbij van dit specifieke lek gebruik gemaakt wordt. Het gaat zowel om aanvallen van cyberspionnen als cybercriminelen. Vanwege de impact en leeftijd kijkt Security.NL in dit artikel naar de ontwikkelingen rondom deze specifieke kwetsbaarheid.

Het is namelijk vrij bijzonder dat een dergelijke oude kwetsbaarheid nog steeds effectief is en ook al zo lang wordt aangevallen. Sommige onderzoekers noemen het dan ook "het beveiligingslek dat niet wil sterven". Zo werden vorig jaar de Indiase en Oezbeekse overheid nog via dit lek aangevallen, alsmede overheidsinstanties, activisten, militaire organisaties en bedrijven in allerlei andere landen. Uit cijfers van vorig jaar zou blijken dat 15 procent van de computers in Europa en de Verenigde Staten nog steeds kwetsbaar is en iets minder dan 40 procent wereldwijd. In Rusland en Azië hebben aanvallers echter meer dan 50 procent kans dat gebruikers nog steeds een kwetsbare Office-versie draaien (pdf).

"Het is een robuust en eenvoudig beveiligingslek. Het is eenvoudig te gebruiken, eenvoudig aan te passen en eenvoudig in Office-documenten te verbergen”, zegt Gabor Szappanos, expert op het gebied van Office-exploits en werkzaam voor het Britse beveiligingsbedrijf Sophos. Hij denkt dat dit de voornaamste redenen voor het succes zijn, gecombineerd met het feit dat veel Office-installaties niet zijn gepatcht. Een andere reden is dat veel mensen niet weten dat een onschuldig lijkend Excel- of Word-document een exploit kan bevatten en dergelijke documenten dan ook gewoon openen.

Exploitkit

Wat ook meespeelt is het verschijnen van zogeheten "Office exploit builder kits", waarmee het eenvoudig is om een kwaadaardig Excel- of Word-document te maken dat slachtoffers via kwetsbaarheden in Microsoft Office probeert te infecteren. "Elke crimineel zonder kennis over exploits kan zo’n kit aanschaffen en gebruiken", laat de expert weten. De afgelopen jaren is het gebruik van dergelijke exploitkits sterk gestegen, aldus Szappanos. Daardoor is de kwetsbaarheid ook in het vizier van cybercriminelen gekomen die normaliter geen gebruik van Office-exploits zouden maken.

Ook Szappanos is verrast dat aanvallers nog steeds gebruik van het 5 jaar oude Office-lek maken. Wat dit succes mogelijk ook verklaart is dat er niet veel eenvoudig te gebruiken Office-kwetsbaarheden zijn. Op dit moment zijn er vier a vijf Office-exploits in omloop die veel worden gebruikt, en CVE-2012-0158 is daarvan de populairste, aldus de expert. "Als criminelen een exploit zoeken waarvan ze zeker willen weten dat die werkt, dan kiezen ze deze." Hoewel de kwetsbaarheid in eerste instantie alleen voor cyberspionage werd ingezet, ziet Szappanos een verschuiving waarbij ook doorsnee cybercriminelen slachtoffers via dit Office-lek aanvallen. Zo zijn er verschillende campagnes bekend waarbij criminelen via dit lek Trojaanse paarden hebben verspreid waarmee toegang tot internetbankieren werd verkregen.

Doordat cybercriminelen de kwetsbaarheid aanvallen lopen veel meer gebruikers risico dan bij cyberspionage, aangezien deze aanvallen tot geselecteerde organisaties of personen beperkt worden. Szappanos is ook bekend met enkele gevallen waarbij er via kwaadaardige documenten ransomware werd verspreid. "Maar voor de één of andere reden houden de bendes achter ransomware zich niet met Office-exploits bezig. Ze kiezen liever voor Office-macro’ s", zo stelt de expert.

Illegale software

De grote vraag blijft echter waarom eindgebruikers en organisaties hun Office-versie niet patchen. Door het installeren van een enkele update hadden honderden aanvallen voorkomen kunnen worden. "Het kan zijn dat het gebruikers niets kan schelen, of dat ze illegale software gebruiken en hun versie niet kunnen updaten”, aldus Szappanos. In het geval van organisaties kan hij geen reden verzinnen waarom het updaten wordt uitgesteld. "Office-updates zijn veilig om te installeren, ze zouden niet voor problemen of compatibiliteitsproblemen moeten zorgen. Het is een must voor organisaties om ze meteen te installeren zodra ze beschikbaar zijn."

Volgens de expert is het belangrijk om aandacht voor dit specifieke lek en andere Office-kwetsbaarheden te vragen. Gebruikers moeten weten dat ze via dergelijke beveiligingslekken kunnen worden aangevallen en dat updates hier tegen beschermen, gaat Szappanos verder. "Het installeren van een update is de eenvoudigste oplossing." Het zou dan ook helpen als Microsoft de update voor deze kwetsbaarheid ook aan gebruikers van illegale software beschikbaar zou stellen, merkt Szappanos op.

De expert denkt dat CVE-2012-0158 nog een paar jaar zal meegaan, maar dat cybercriminelen deze kwetsbaarheid uiteindelijk links zullen laten liggen. "Ze blijven het gebruiken zolang er voldoende kwetsbare gebruikers zijn." En zelfs als dit specifieke lek verdwijnt, zijn er inmiddels ook nieuwere exploits beschikbaar. "Het advies is dan ook patchen, patchen, patchen", besluit Szappanos.