Nieuws
image

Office-gebruikers aangevallen via zerodaylekken in EPS-filter

woensdag 10 mei 2017, 10:38 door Redactie, 3 reacties
Laatst bijgewerkt: 10-05-2017, 11:41

Gebruikers van Microsoft Office zijn de afgelopen maanden via zerodaylekken in het Encapsulated PostScript (EPS) filter van Office aangevallen, wat aanleiding voor Microsoft was om het filter uit te schakelen. In totaal werden er drie zerodaylekken tegen Office-gebruikers ingezet.

EPS is een bestandsextensie voor een grafisch bestandsformaat dat in vector-gebaseerde bestanden in Adobe Illustrator wordt gebruikt. Ook Office ondersteunt het via een EPS-filter. Eind maart werd er een aanval ontdekt waarbij de aanvallers een onbekende kwetsbaarheid in het EPS-filter in combinatie met een al gepatcht beveiligingslek in de Windows Graphics Device Interface (GDI) gebruikten om systemen met malware te infecteren. In april werd EPS als beveiligingsmaatregel door Microsoft in Office uitgeschakeld. Beveiligingsbedrijf FireEye ontdekte in deze maand echter een tweede onbekende EPS-kwetsbaarheid in Office die de aanvallers in combinatie met een zerodaylek in Windows gebruikten. Microsoft heeft het EPS- en Windows-lek deze maand gepatcht.

Volgens FireEye zitten meerdere groepen achter de aanvallen. De aanval met het eerste EPS-lek werd uitgevoerd door een groep genaamd Turla, die bekendstaat als een zeer geavanceerde spionagegroep die ook de Snake-malware ontwikkelde. Ook een tweede groep aanvallers met financiële motieven maakte van deze kwetsbaarheid gebruik. Het tweede zerodaylek in EPS werd door de spionagegroep APT28 aangevallen. Deze groep staat ook bekend als Pawn Storm en Fancy Bear.

Anti-virusbedrijf ESET meldt dat bij deze tweede aanval een document genaamd "Trump’s_Attack_on_Syria_English.docx" werd gebruikt. Dit document liet een echt artikel van de California Courier als afleidingsmanoeuvre zien. In de achtergrond werden de twee exploits voor het EPS- en Windows-lek uitgevoerd. FireEye stelt dat Turla en APT28 Russische spionagegroepen zijn die de EPS-lekken tegen Europese diplomaten en "militaire entiteiten" hebben ingezet. De onbekende financiële groep had het voorzien op regionale en globale banken met kantoren in het Midden-Oosten.

Volgens Microsoft vonden de eerste aanvallen eind maart plaats. Gebruikers zouden op dat moment al via de updates van maart beschermd zijn. De aanval op de tweede kwetsbaarheid werd halverwege april waargenomen. Ook in dit geval waren gebruikers volgens de softwaregigant al beschermd doordat de april-update het EPS-filter in Office uitschakelde. Wel laten deze aanvallen zien hoe belangrijk het is om updates zo snel als mogelijk te installeren, aldus het Microsoft Security Response Center.

Image

Reacties (3)
10-05-2017, 11:21 door Anoniem
De methode lijkt rechtstreeks gekopieerd van de Chinezen.

De man die met naam en toenaam wordt genoemd in deze mail als (vervalste) afzender bestaat echt en was militair attaché in Denemarken.

In Nederland zouden we die naam onleesbaar maken. Het is een slachtoffer in dit verhaal.
10-05-2017, 13:29 door Anoniem
Microsoft Office maar dan wel in combinatie met een Windows OS.
10-05-2017, 22:19 door Anoniem
Er is een hele simpele oplossing voor: Het EPS filter wordt in de installatie van Office apart genoemd en is apart al of niet te installeren. Mits je geavanceerd installeert en niet 'standaard'.

Tenminste: dat geldt voor de Office 2003 versie die ik in gebruik heb (en die niet meer ondersteund wordt). Maar omdat ik maar niet kan wennen aan dat lint heb ik na 4 jaar tevergeefs proberen afscheid genomen van Office 2007 en ben weer terug bij versie 2003.

Ik kan me echter niet anders voorstellen dan dat dit bij andere versies hetzelfde moet zijn (dus uitschakelen van EPS filter in de setup). Bij mij stond het al uit Heb eigenlijk nooit behoefte gehad aan zo'n filter: als ik toch een keer zo'n file krijg en wil verwerken in een document dat open of converteer ik het eerst via een andere route, bijv Irfanview.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search