image

Criminelen infecteren banksystemen via bekend Word-lek

dinsdag 4 juni 2019, 12:27 door Redactie, 8 reacties
Laatst bijgewerkt: 04-06-2019, 15:31

Criminelen hebben vorig jaar verschillende systemen van een bank geïnfecteerd door gebruik te maken van bekende kwetsbaarheden in Microsoft Word. Uiteindelijk wisten de aanvallers zo toegang tot de interne banksystemen te krijgen en gebruikten die toegang om geldautomaten geld uit te laten geven.

De aanval op de niet nader genoemde bank wordt beschreven door antivirusbedrijf Bitdefender (pdf). De criminelen stuurden een spearphishingmail naar medewerkers van de bank. Twee bankmedewerkers openden de meegestuurde bijlage. Het ging om een .doc-bestand. Het document bevatte een exploit voor drie kwetsbaarheden in Microsoft Word ( CVE-2017-8570, CVE-2017-11882 en CVE-2018-0802).

Op het moment van de aanval waren deze beveiligingslekken al door Microsoft gepatcht. Het ging om beveiligingsupdates die op 11 juli 2017, 14 november 2017 en 9 januari 2018 door Microsoft waren uitgebracht. De aanval op de bank vond plaats tussen maart en mei 2018. Doordat de bank had nagelaten de updates te installeren werkte de exploit in het kwaadaardige document van de aanvallers en kon er malware op de systemen van de twee bankmedewerkers worden geïnstalleerd.

Vanaf de besmette systemen werd de rest van het banknetwerk aangevallen. Gedurende 63 dagen hadden de criminelen toegang tot het banknetwerk en wisten ook de beheerdersgegevens te compromitteren. De aanvallers stelen gedurende de operatie belangrijke documenten en proberen de ATM- en bankapplicaties van de bank te benaderen. Uiteindelijk slagen de criminelen hierin en kunnen zo de geldautomaten van de bank op afstand bedienen, zodat de inhoud van de geldcassettes wordt geleegd. Handlangers die bij de automaten ter plekke zijn nemen het geld mee.

De bende achter de aanval zou bij meer dan honderd banken wereldwijd hebben ingebroken en daarbij 1 miljard euro hebben gestolen. Het zijn met name Oost-Europese banken die het doelwit zijn. De vermeende bendeleider werd vorig jaar aangehouden. Ondanks de aanhouding is de bende nog steeds actief. Naast documenten met exploits voor bekende kwetsbaarheden maakt de bende ook gebruik van Word-documenten met kwaadaardige macro's.

Reacties (8)
04-06-2019, 14:13 door Anoniem
Ik zie geen CVE vermelding, maar dan nog. Vrij vervelend, je zou zeggen dat Anti-Virus bedrijven beter samenwerken met Microsoft om onbekende beveiligingsproblemen op te lossen? Blijkbaar doen ze dat nog niet goed genoeg. Dus dan krijg je dit soort situaties. Beste meneer bij de bank opent een spam mailtje en het Word document als administrator en het hele systeem een is met ransomware verzout.

Wat in 2019 wel echt een vereiste mag gaan worden wat mij betreft is een security toetsing voor medewerkers in de bank die een computersysteem gebruiken. Als ze voor deze security toetsing niet slagen, dan helaas pindakaas zoek maar een andere baan, maar niet in een bank waar veiligheid vooral voorop moet staan want tegenwoordig ben je heel snel je geld kwijt als je niet goed oplet.

#sockpuppet
04-06-2019, 14:35 door Anoniem
De updates waren beschikbaar

De bank heeft nagelaten deze te installeren

Prutswerk ICT Beheer bank
04-06-2019, 15:41 door Anoniem
Door Anoniem: Ik zie geen CVE vermelding, maar dan nog. Vrij vervelend, je zou zeggen dat Anti-Virus bedrijven beter samenwerken met Microsoft om onbekende beveiligingsproblemen op te lossen? Blijkbaar doen ze dat nog niet goed genoeg. Dus dan krijg je dit soort situaties. Beste meneer bij de bank opent een spam mailtje en het Word document als administrator en het hele systeem een is met ransomware verzout.

Wat in 2019 wel echt een vereiste mag gaan worden wat mij betreft is een security toetsing voor medewerkers in de bank die een computersysteem gebruiken. Als ze voor deze security toetsing niet slagen, dan helaas pindakaas zoek maar een andere baan, maar niet in een bank waar veiligheid vooral voorop moet staan want tegenwoordig ben je heel snel je geld kwijt als je niet goed oplet.

#sockpuppet
Dit waren geen onbekende kwetsbaarheden aangezien er security updates voor waren.

De bank heeft minimaal twee maanden nagelaten om de kwetsbaarheid te dichten
04-06-2019, 16:36 door Anoniem
Door Anoniem: Ik zie geen CVE vermelding, maar dan nog.

Remote Code Execution in Microsoft Word: CVE-2017-8570, CVE-2017-11882, and CVE-2018-0802, uit de PDF.
04-06-2019, 17:03 door Anoniem
Door Anoniem:
Door Anoniem: Ik zie geen CVE vermelding, maar dan nog. Vrij vervelend, je zou zeggen dat Anti-Virus bedrijven beter samenwerken met Microsoft om onbekende beveiligingsproblemen op te lossen? Blijkbaar doen ze dat nog niet goed genoeg. Dus dan krijg je dit soort situaties. Beste meneer bij de bank opent een spam mailtje en het Word document als administrator en het hele systeem een is met ransomware verzout.

Wat in 2019 wel echt een vereiste mag gaan worden wat mij betreft is een security toetsing voor medewerkers in de bank die een computersysteem gebruiken. Als ze voor deze security toetsing niet slagen, dan helaas pindakaas zoek maar een andere baan, maar niet in een bank waar veiligheid vooral voorop moet staan want tegenwoordig ben je heel snel je geld kwijt als je niet goed oplet.

#sockpuppet
Dit waren geen onbekende kwetsbaarheden aangezien er security updates voor waren.

De bank heeft minimaal twee maanden nagelaten om de kwetsbaarheid te dichten

Het artikel is bijgewerkt er staan nu CVE nummers bij. Duidelijk lijkt mij.
05-06-2019, 06:19 door karma4
Als je als bank de winst voor veiligheid laat gaan dan vraag je er om. Geen netwerksegmentatie geen ids geen dubbele controle bij high privileged activiteiten.
Ja het werkt toch dus waarom zou je je druk maken.
De Cyber veiligheid is minder inzichtelijk dan fysieke veiligheid maar niet minder belangrijk.

Wel heel goedkoop om die interne problemen als iets extern weg te zetten. Het toont het geloof dat het "gratis voor niets" goed genoeg is.
05-06-2019, 07:46 door Bitje-scheef
Met gemiddeld 4 fixes/patches per maand voor Office ? Imho denk ik dat je het probleem niet alleen naar systeembeheer kan verschuiven, alhoewel ze wel medeverantwoordelijk zijn net als de fabrikant. Daarnaast ook anti-virus boeren hebben er behoorlijk moeite mee, want Office is gewoon gatenkaas.
05-06-2019, 14:46 door [Account Verwijderd]
Door karma4: Als je als bank de winst voor veiligheid laat gaan dan vraag je er om. Geen netwerksegmentatie geen ids geen dubbele controle bij high privileged activiteiten.
Ja het werkt toch dus waarom zou je je druk maken.
De Cyber veiligheid is minder inzichtelijk dan fysieke veiligheid maar niet minder belangrijk.

Wat weet jij wat banken doen?

Door karma4: Wel heel goedkoop om die interne problemen als iets extern weg te zetten. Het toont het geloof dat het "gratis voor niets" goed genoeg is.

Het is nog vroeg dus je zal wel dromen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.