image

Spionageaanvallen via macro's en DDE-feature in Microsoft Office

woensdag 10 oktober 2018, 17:22 door Redactie, 12 reacties

Verschillende anti-virusbedrijven waarschuwen vandaag voor spionageaanvallen die via Microsoft Office-documenten plaatsvinden en gebruikmaken van macro's en de DDE-feature. Deze tactieken worden al jaren toegepast, maar zijn dankzij social engineering nog altijd effectief.

Symantec bericht over een groep aanvallers die het heeft voorzien op verschillende overzeese ambassades van een Europees land en militaire en defensie doelwitten in het Midden-Oosten. De slachtoffers ontvangen een docx-bestand dat van de DDE-feature in Office gebruikmaakt om malware op het systeem te installeren. Dynamic Data Exchange (DDE) is een feature die aan oudere Windows-versies werd toegevoegd.

De feature maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. In het geval het Excel-document wordt bijgewerkt zal dit ook meteen in het Word-document zichtbaar zijn. De DDE-feature maakt het echter ook mogelijk om in plaats van Excel een applicatie zoals cmd.exe of Powershell aan te roepen en daarmee kwaadaardige commando's uit te voeren. De functionaliteit wordt sinds de tweede helft van vorig jaar actief door cybercriminelen gebruikt om gebruikers met malware te infecteren.

Voordat de DDE-feature kan worden geactiveerd moet het slachtoffer eerst zelf op "enable content" klikken. De aanvallers proberen het slachtoffer hiertoe te verleiden door te stellen dat het om een beveiligd document gaat en de inhoud alleen zichtbaar is door "enable content" in te schakelen. Vanwege het misbruik besloot Microsoft om vorig jaar december de DDE-feature in Word standaard uit te schakelen. In januari werd dit middels een update ook in Excel gedaan. De aangevallen slachtoffers die Symantec analyseerde hadden deze update echter niet geïnstalleerd en waren zodoende nog steeds kwetsbaar voor aanvallen via de DDE-feature.

Macro's

Naast het gebruik van de DDE-feature passen aanvallers ook nog steeds macro's toe. Anti-virusbedrijf Kaspersky Lab waarschuwt voor een campagne waarbij doelwitten doc-bestanden met kwaadaardige macro's ontvangen. Macro's laten gebruikers verschillende veelgebruikte taken automatiseren. Het is echter ook mogelijk om via een macro code op het systeem uit te voeren en bijvoorbeeld malware te downloaden en installeren. Om gebruikers te beschermen blokkeert Microsoft Office standaard het uitvoeren van macro's.

Net als bij de aanval met de DDE-feature vragen de aanvallers ook bij de macro-aanvallen medewerking van het slachtoffer. Die wordt gevraagd om eerst "enable editing" in te schakelen en daarna "enable content". Pas als dit is gedaan wordt de kwaadaardige macro uitgevoerd en raakt het systeem besmet met malware. De campagne met de macro-documenten is gericht tegen overheidsinstellingen, militaire entiteiten, telecombedrijven en onderwijsinstellingen in het Midden-Oosten.

Image

Reacties (12)
10-10-2018, 17:47 door Anoniem
Heb je ook deze problemen als je gebruik maakt van LibreOffice op Windows?
Werken veel Docx virussen ook op Libreoffice?
10-10-2018, 17:57 door softwaregeek
DDE -feature is makkelijk uit te zetten:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Options]
"DontUpdateLinks"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Options]
"DontUpdateLinks"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\Options]
"DontUpdateLinks"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Options\WordMail]
"DontUpdateLinks"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Options\WordMail]
"DontUpdateLinks"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\Options\WordMail]
"DontUpdateLinks"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\OneNote\Options]
"DisableEmbeddedFiles"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\OneNote\Options]
"DisableEmbeddedFiles"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Excel\Options]
"DontUpdateLinks"=dword:00000001
"DDEAllowed"=dword:00000000
"DDECleaned"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Excel\Options]
"DontUpdateLinks"=dword:00000001
"DDEAllowed"=dword:00000000
"DDECleaned"=dword:00000001
"Options"=dword:00000117

[HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Excel\Options]
"DontUpdateLinks"=dword:00000001
"DDEAllowed"=dword:00000000
"DDECleaned"=dword:00000001
"Options"=dword:00000117
10-10-2018, 19:23 door Anoniem
Betreft Open Office
Heb je ook deze problemen als je gebruik maakt van OpenOffice op Windows 10 ?
Werken virussen ook op OpenOffice ?
10-10-2018, 19:46 door Anoniem
Door Anoniem: Heb je ook deze problemen als je gebruik maakt van LibreOffice op Windows?
Werken veel Docx virussen ook op Libreoffice?

Nee, maar ook niet met MS Windows onder macOS. Het is weer de combinate van een applicatie en Windows.
10-10-2018, 21:05 door Anoniem
Dat vind ik nou een nuttige comment thanks
10-10-2018, 22:39 door -karma4
Door softwaregeek: DDE -feature is makkelijk uit te zetten:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Options] ...

Inderdaad hartstikke makkelijk!
10-10-2018, 22:51 door [Account Verwijderd]
Door The FOSS:
Door softwaregeek: DDE -feature is makkelijk uit te zetten:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Options] ...

Inderdaad hartstikke makkelijk!

En maar zeggen dat Windows zo gebruikersvriendelijk is t.o.v. Linux.
11-10-2018, 00:39 door [Account Verwijderd]
Door linux4:
Door The FOSS:
Door softwaregeek: DDE -feature is makkelijk uit te zetten:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Options] ...

Inderdaad hartstikke makkelijk!

En maar zeggen dat Windows zo gebruikersvriendelijk is t.o.v. Linux.

Ah, richtig ja, Sehr wichtig. Und jetzt süß schlafen, Morgenfrüh frisch aufstehen und wieder zum Kindergarten, spielen mit die Pinguine. Rechner sind immer noch reserviert für Erwachsenen.

Zo en terzijde meteen afgerekend met de elders hier zo vaak met steenkolen Engels versierde IT surrogaatkennis om stellingen kracht bij te zetten, Dàt mag ook wel wat minder. Ik omarm de taal van Goethe.

Gute Nacht.
11-10-2018, 02:52 door -karma4
Door Balder: ...

Zo en terzijde meteen afgerekend met de elders hier zo vaak met steenkolen Engels versierde IT surrogaatkennis om stellingen kracht bij te zetten, Dàt mag ook wel wat minder. Ik omarm de taal van Goethe.

Gute Nacht.

Over taal gesproken: https://onzetaal.nl/taaladvies/klemtoonteken-nadrukteken/.
11-10-2018, 08:31 door Anoniem
Nederlands, er komen steeds meer sub-talen bij, zoals recentelijk het Nedersaksisch.
Dat heb je met zo'n taal als Nederlands, dat pas heel laat standaardtaal werd.

Er is hier iemand, zoals werkezel, die fonetisch Brabants schrijft
Utrechters laten een -t weg en Rotterdammers plakken hem erbij in de eerste persoon.

"Za je thawe azzie t'ad hadde?" is weer leuk Ingweoons, net als het woord strang.
Leuk als je geen Google Translate wil gebruiken in kleine kring.

Maar goed taalbespiegelingen naar het taalforum.
12-10-2018, 06:20 door Anoniem
15-10-2018, 10:42 door Anoniem
Door Anoniem: Betreft Open Office
Heb je ook deze problemen als je gebruik maakt van OpenOffice op Windows 10 ?
Werken virussen ook op OpenOffice ?
nee, maar los daarvan zou ik adviseren LibreOffice te nemen. Veel beter en wordt zeer actief bijgehouden op gebied van veiligheid. En OpenOffice .. ehh
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.