Securitybedrijf: Microsoft zou DDE-feature in Word moeten patchen
Microsoft moet met een oplossing voor de DDE-feature in Word komen nu cybercriminelen hier gebruik van maken. De Dynamic Data Exchange (DDE) feature van Word maakt het mogelijk om data van het ene document in een tweede document te injecteren. In plaats van een document kan er ook naar het uitvoeren van kwaadaardige code worden gelinkt. DDE is een legacy Inter-Process Communication (IPC) mechanisme dat van 1987 dateert.
Het bestaat uit een protocol dat is ontworpen om berichten tussen twee applicaties uit te wisselen. In het geval van DDE wordt het verder versterkt door toegang te verlenen tot gedeeld geheugen. Microsoft Office biedt een extensie om DDE binnen documenten met externe processen te laten communiceren. Zodoende is het via DDE in een Word-document mogelijk niet alleen mogelijk om Excel aan te roepen, maar ook om via cmd.exe commando's op het systeem uit te voeren.
Securitybedrijf SensePost waarschuwde Microsoft, maar de softwaregigant stelde dat het voorlopig geen maatregelen zal nemen omdat DDE als een feature wordt beschouwd. Mogelijk zal het bij een volgende versie van Office als 'kandidaat-bug' worden aangemerkt. Een mogelijke reden hiervoor is dat gebruikers in meerdere vensters toestemming moeten geven om de code die via DDE wordt aangeroepen uit te laten voeren.
Securitybedrijf EndGame besloot naar DDE binnen Word te kijken en ontdekte een bug in de implementatie. De MSDN-documentatie over DDE stelt dat de applicatie die DDE aanroept al moet draaien. Dat blijkt echter niet het geval te zijn. Daardoor kan een kwaadaardig Word-document via DDE bijvoorbeeld cmd.exe aanroepen en zo aanvullende commando's uitvoeren. Volgens Bill Finlayson van EndGame zou Microsoft dit kunnen verhelpen door de gebruiker te vragen om de aangeroepen applicatie zelf te starten in plaats van dit automatisch te doen.
Ook kan Microsoft de tekst in de dialoogvensters aanpassen en meer security-georiënteerd maken voordat de aangeroepen applicatie wordt uitgevoerd. Finlayson wijst echter naar alle aanvallen via macro's die laten zien dat de eindgebruiker uiteindelijk elk venster doorklikt, ongeacht de gebruikte bewoording. "De juiste oplossing is dan ook om de gebruiker te vragen om de applicatie te starten voordat ze in het dialoogvenster kunnen doorklikken, en daarna Word het verzoek opnieuw te laten uitvoeren." Finlayson vindt het dan ook jammer dat Microsoft het probleem niet wil oplossen, gezien het feit dat aanvallers steeds meer van deze feature gebruikmaken.
Wat laat Microsoft toch een geweldige erfenis na aan de wereld: slecht onderhouden closed source producten aanwezig op veel te veel computers.
Wat laat Microsoft toch een geweldige erfenis na aan de wereld: slecht onderhouden closed source producten aanwezig op veel te veel computers.
Vraag me af of dit alleen aan Microsoft ligt...
Andere bedrijven zie ik hetzelfde, zo kan je ook zien wat een erfenis Google met zijn fabrikanten achterlaat op al die Android devices die geen updates meer krijgen. Dat is denk dan nog kwalijker, ligt het hier ook aan "closed source producten"?
Microsoft update zijn software relatief lang vergeleken met concurrenten...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.