image

Aanval via Office DDE-feature werkt ook in Microsoft Outlook

maandag 23 oktober 2017, 12:35 door Redactie, 9 reacties

De DDE-feature in Microsoft Office die op dit moment wordt gebruikt om internetgebruikers via Word-documenten aan te vallen werkt ook in Microsoft Outlook, zo hebben onderzoekers aangetoond. De aanval kan worden uitgevoerd door het versturen van e-mails en kalenderuitnodigingen die in het Rich Text Format (RTF) zijn opgesteld.

De Dynamic Data Exchange (DDE) feature van Microsoft Office maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. Hiervoor wordt er code aan het ene document toegevoegd die naar de data in het andere document wijst. In plaats van een document kan er ook naar het uitvoeren van kwaadaardige code worden gelinkt. Aanvallers maken nu gebruik van deze feature om internetgebruikers via Word-documenten met ransomware en andere malware te infecteren.

De aanvallers versturen e-mails die als bijlage een Word-document hebben. Zodra de ontvanger het document opent krijgt hij verschillende dialoogvensters te zien waarin om toestemming wordt gevraagd voor het uitvoeren van de code waarnaar wordt gelinkt. Het is echter niet nodig om Word-documenten te versturen, zo hebben onderzoekers aangetoond. Onderzoeker Kevin Beaumont vond een manier om via een e-mail de DDE-feature binnen Microsoft Outlook te gebruiken. In dit geval krijgen gebruikers een zelfde melding te zien als bij Word waarin om toestemming wordt gevraagd voor het uitvoeren van code.

Naast een met RTF opgemaakte e-mail is de aanval ook via een kalenderuitnodiging uit te voeren. Volgens anti-virusbedrijf Sophos is de aanval eenvoudig te stoppen, gebruikers moeten in het eerste venster dat om het uitvoeren van code vraagt op nee klikken. Mocht de gebruiker in het eerste venster op ja hebben geklikt, dan verschijnt er nog een tweede dialoogvenster dat om toestemming vraagt. Pas als er twee keer op ja is geklikt wordt de via DDE aangeroepen code uitgevoerd. Een andere optie die gebruikers kunnen toepassen om zich te beschermen is het weergeven van e-mails in platte tekst.

Image

Reacties (9)
23-10-2017, 13:06 door Anoniem
Ook hier gaat het om een combinatie probleem en niet alleen om een Microsoft Office probleem.
Het is een combinatie van een specifiek OS samen met MS Office.
23-10-2017, 17:46 door Anoniem
Door Anoniem: Ook hier gaat het om een combinatie probleem en niet alleen om een Microsoft Office probleem.
Het is een combinatie van een specifiek OS samen met MS Office.

Ja, Duhhhh! Office is Microsoft, DDE is Microsoft en Windows is Microsoft. Hoezo een 'specifiek' OS ?!?
23-10-2017, 18:16 door karma4
Door Anoniem: Ook hier gaat het om een combinatie probleem en niet alleen om een Microsoft Office probleem.
Het is een combinatie van een specifiek OS samen met MS Office.
Eerste probleem is niet de techniek maar de mens.
Twee keer ja op iets zeggen dat je niet wil?

Het advies platte tekst is een leuke. Moet je eerst zeker weten dat daar weer niet een vergeten uitzondering in zit.
Laatst hier gezien dat versleutelde berichten juist dan de must in gingen.
23-10-2017, 21:06 door Anoniem
goh alweer DDE? the present that keeps on giving?
24-10-2017, 06:51 door Anoniem
Door Anoniem:
Door Anoniem: Ook hier gaat het om een combinatie probleem en niet alleen om een Microsoft Office probleem.
Het is een combinatie van een specifiek OS samen met MS Office.

Ja, Duhhhh! Office is Microsoft, DDE is Microsoft en Windows is Microsoft. Hoezo een 'specifiek' OS ?!?

Microsoft Office/Outlook is er ook voor MacOS en iOS en daar doet het probleem zich niet voor. Dus Microsoft Office/Outlook voor Windows is dus kwetsbaar, de rest niet.

Duhhhh!
24-10-2017, 08:37 door Anoniem
Door Anoniem: goh alweer DDE? the present that keeps on giving?

ferme le fenetre :).
24-10-2017, 10:01 door Anoniem
Door karma4: Eerste probleem is niet de techniek maar de mens.
Twee keer ja op iets zeggen dat je niet wil?
Dat "iets wat je niet wil" maakt duidelijk dat je gebruikers van de technologie bedoelt. Het probleem is dat de makers van de technologie nog altijd slecht om weten te gaan met hoe veel van die gebruikers reageren.

Het probleem met "iets dat je niet wil" is dat heel wat mensen geen idee hebben hoe ze dat kunnen beoordelen. Er is in de loop van de jaren heel veel software geweest, van applicaties tot besturingssystemen zelf, waarbij de gebruiker met vragen in popups geconfronteerd worden waarvan ze geen benul hebben wat er bedoeld wordt. Er lopen heel wat mensen rond die zo gewend zin geraakt dat ze het toch niet snappen en dat "de computer" het wel beter zal weten dat op "Ok" klikken een automatisme is geworden. Die mensen zijn heel kwetsbaar voor malware.

Ongeveer vanaf Windows 95 zijn computers de consumentenmarkt in gepompt met als boodschap dat het allemaal vanzelf gaat, dat je als gebruiker geen verstand van zaken hoeft te hebben omdat het intuïtief goed gaat. Alleen is dat een mythe die uit marketingoverwegingen is geschapen. Als doel om naar te streven is het geweldig, maar dat is wat anders dan het verkopen alsof dat doel al bereikt is. En helemaal bereiken lukt denk ik nooit. Het zal altijd zo zijn dat bugs en storingen in voor de gebruiker onzichtbare componenten tot rare storingen of subtiele fouten in zichtbare componenten leiden. Denk aan hoe de FDIV-bug in de Pentium-processor alle applicaties die met floating point rekenden onbetrouwbaar maakte, of aan hoe een bug in een JPEG-library een beveiligingslek in alle applicaties die die library gebruiken kan veroorzaken. Die situaties voldoen nooit aan dat beeld van moeiteloos gebruik.

Op een ander niveau, zonder dat er bugs in het spel zijn, is het voor een gebruiker voor wie de computer alleen bestaat uit wat er zichtbaar op zijn scherm gebeurt (ik ken er de nodige) niet te bevatten dat in even enorme als onzichtbare datacentra van Facebook en Google dingen gebeuren die je privacy schenden en zelfs opinies sturen, wie weet zelfs verkiezingen beïnvloeden.

Als je bedenkt dat DDE iets uit Windows 2 is en een voorloper is van technieken als OLE en ActiveX dan zou het zo langzamerhand eigenlijk gewoon uit moeten kunnen staan. En als het dan nog activeerbaar moet zijn dan moet dat niet zo laagdrempelig zijn dat je het gedachtenloos kan. Integendeel, bij technieken die potentieel riskant zijn zou je juist moeten zorgen dat het wat meer voeten in aarde heeft om het voor elkaar te krijgen, zodat een gebruiker gedwongen wordt na te denken bij wat hij aan het doen en niet in een modus van gedachtenloos maar wat doen blijft steken. De meest gebruikersvriendelijke oplossing hoeft niet per se de makkelijkste te zijn.

En dat goed opzetten is niet aan de mens die de techniek gebruikt maar aan de mens die hem ontwerpt.
24-10-2017, 11:43 door Anoniem
Door Anoniem:
Door Anoniem: Ook hier gaat het om een combinatie probleem en niet alleen om een Microsoft Office probleem.
Het is een combinatie van een specifiek OS samen met MS Office.

Ja, Duhhhh! Office is Microsoft, DDE is Microsoft en Windows is Microsoft. Hoezo een 'specifiek' OS ?!?

Sterker nog: Outlook gebruikt Word voor "Rich Text" weergave en bewerking. Niet zo gek dat andere 'features' dan ook meekomen he...
24-10-2017, 15:21 door Joep Lunaar
Door karma4:
Door Anoniem: Ook hier gaat het om een combinatie probleem en niet alleen om een Microsoft Office probleem.
Het is een combinatie van een specifiek OS samen met MS Office.
Eerste probleem is niet de techniek maar de mens.
Twee keer ja op iets zeggen dat je niet wil?

Het advies platte tekst is een leuke. Moet je eerst zeker weten dat daar weer niet een vergeten uitzondering in zit.
Laatst hier gezien dat versleutelde berichten juist dan de must in gingen.

Zoals je in jouw opmerking over platte tekst weergave van e-mail aangeeft, is het voor een gebruiker, zelf een ingevoerde als jij, moeilijk te overzien hoe wanneer en wat. Je kan van de gebruiker niet veel inzicht verwachten op dit gebied.

Bovendien klikken gebruikers continu allerlei meldingen weg, ze willen door met hun werk. Geef veel meldingen en gebruikers negeren de inhoud, de klik-weg wordt een motorisch automatisme, een reflex. Dit psychologisch patroon heet repressieve tolerantie. Als zo'n al-te-gebruikelijke melding na een update van een programma niet meer optreedt, zul je altijd gebruikers hebben die daarna roepen: het doet het niet meer. Echt waar.

Afgezien daarvan, zijn erg veel meldingen in de producten van Microsoft ronduit onbegrijpelijk, zelf voor ingewijdenen. Zoals een melding die een vraag inhoudt, maar waarop alleen OK kan worden geklikt enz. enz., of zoals in MS Outlook na een klik op een knop "verwijder" van een invoegtoepassing de melding verschijnt "... bezig met installeren ...". Het is ongelooflijk met welke ondermaatse troep producenten als Microsoft weg denken te kunnen komen, stuitend. Pas wanneer klanten in voldoende mate hen de rug toekeren zal het belang van kwaliteit, van goede afwerking, voldoende op waarde worden geschat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.