image

Office-gebruikers doelwit van malafide ODT-bestanden

dinsdag 1 oktober 2019, 09:39 door Redactie, 9 reacties

Gebruikers van LibreOffice, Microsoft Office en OpenOffice zijn het doelwit van malafide ODT-bestanden die malware proberen te installeren, zo waarschuwen onderzoekers van Cisco. ODT (OpenDocument Text) is de bestandsextensie voor tekstdocumenten binnen het Open Document Format (ODF)

Het is eigenlijk een zip-bestand met daarin xml-gebaseerde bestanden. Onlangs ontdekte Cisco drie aanvalscampagnes waarbij malafide ODT-bestanden werden ingezet. Waarschijnlijk is er bewust voor ODT gekozen om detectie door beveiligingssoftware te omzeilen. De eerste twee campagnes waren gericht tegen Microsoft Office, de derde campagne tegen gebruikers van LibreOffice en OpenOffice.

Bij de eerste twee aanvallen moesten gebruikers op een embedded object in het document klikken en vervolgens een beveiligingswaarschuwing negeren. Hierna werd er een remote administrative tool (RAT) gedownload die de aanvallers volledige controle over het systeem van de gebruiker gaf. De aanval tegen LibreOffice en OpenOffice maakte gebruik van een soort macro's om code te downloaden en uit te voeren. Veel details over deze aanval ontbreken. Mogelijk dat het onderdeel van een penetratietest uitmaakte, maar ook het gebruik door aanvallers wordt niet uitgesloten.

"Door bekende platformen aan te vallen vergroten aanvallers hun kans om toegang tot machines te krijgen. En het gebruik van het ODT-bestandsformaat laat zien dat aanvallers graag nieuwe infectiemechanismes proberen, mogelijk om te zien of deze documenten voor meer infecties zorgen of beter in staat zijn om detectie te omzeilen", aldus Cisco-onderzoeker Warren Mercer, die toevoegt dat sommige virusscanners en sandboxes niet goed met ODT-bestanden omgaan.

Image

Reacties (9)
01-10-2019, 10:05 door [Account Verwijderd]
Toch bizar als een argeloze gebruiker de OK knop klikt.
Als de tekst zou luiden: behalve als u absoluut zeker bent dat u de rode lichten en het belsignaal op deze spoorwegovergang kunt negeren rijdt de betreffende persoon zeker ook ehh... app-verslaafd door ?!?

Nogmaals: vreemd dat men glasheldere waarschuwingen negeert.
01-10-2019, 11:24 door Bitje-scheef
Door Wilbert Wintergaard: Toch bizar als een argeloze gebruiker de OK knop klikt.
Als de tekst zou luiden: behalve als u absoluut zeker bent dat u de rode lichten en het belsignaal op deze spoorwegovergang kunt negeren rijdt de betreffende persoon zeker ook ehh... app-verslaafd door ?!?

Nogmaals: vreemd dat men glasheldere waarschuwingen negeert.

Mensen worden lees-moe en hebben meestal haast, 2 onderdelen die passen in het recept van 'domweg' OK klikken.
Daarom helpt instructie slechts deels (wel aanzienlijk) in het spotten van malware/phishing emails.
01-10-2019, 12:06 door Anoniem
Door Wilbert Wintergaard: Nogmaals: vreemd dat men glasheldere waarschuwingen negeert.
Zo glashelder is die waarschuwing geenszins.

Er staat een hele hoop "zou kunnen" en "mischien wel", maar wat er vooral niet staat is wat er zeker wel staat te gebeuren. Er staat iets van "this package" maar er staat nergens wat dat is, waar het vandaankomt ("hoezo download? ik dacht dat het al in het document zat!"), zelfs maar enige context ontbreekt. Ik schat dat "de" manier om te kijken wat die dubbelklik zal gaan doen is, pop-up wegklikken, rechterklik op icoon, en dan iets van "eigenschappen" uit het contextmenu, al dan niet gevolgd door nog meer klikken (na een flinke laadtijd want die menuutjes gebruik je helemaal nooit) waaronder een paar keer "advanced", en zo verder.

Je moet dus op zeer beperkte en zeer zeker onvolledige informatie een beslissing nemen. Vaak genoeg blijkt zoiets loos alarm. En je krijgt er nogal veel van om je oren, *kuch* zekere GUI omgevingen *kuch* hebben daar een handje van en hebben zelfs de trend gezet.

En dan kom je bij het al genoemde puntje lees-moe (veel woorden, weinig inhoud, visueel vrijwel gelijk aan vele vele andere meldingen) en haast. En ondertussen bij veel mensen waaronder "digital natives" een soort Pavlov-training van eerst wegklikken en na tien keer hetzelfde actie-popup-wegklik-waar-is-mijn-reactie? maar eens hulp roepen van iemand anders. Die hopelijk wel het geduld heeft om niet onmiddelijk weg te klikken en te lezen wat er staat.

Computer security mensen vergeten nog wel eens dat de rest van de wereld (inclusief ontwikkelaars) geen expert is, of zelfs maar wil zijn, in het "veilig houden" van hun kompjoetertje. Dat is voor een groot deel ook te danken aan de manier waarop *kuch* zekere systemen *kuch* in de markt gezet zijn. "Geen training nodig! Intuitief!" en waarom zou de security daar ineens niet onder vallen?

Maarja, ontwikkelaars vergeten ook nog wel eens dat de rest van de wereld geen expert is, of zelfs maar wil zijn, in wat ontwikkelaars "intuitief" noemen. Dit heeft ook zo zijn gevolgen voor hoe er met de software omgegaan wordt.
01-10-2019, 13:31 door Briolet - Bijgewerkt: 01-10-2019, 13:36
Door Wilbert Wintergaard: Toch bizar als een argeloze gebruiker de OK knop klikt.…

Nogmaals: vreemd dat men glasheldere waarschuwingen negeert.

Psychologie, luiheid en kuddegedrag van mensen zijn de toverwoorden. Bovenstaande afbeelding is door de aanvallers gemaakt. Ze geven een instructie om de default "Cancel" knop niet te gebruiken, maar in plaats daarvan de "OK" knop te klikken. Doordat de lezers nu al een instructie met plaatje gezien hebben, herkennen ze de echte waarschuwing uit de eerdere instructie en gaan hem ook niet meer lezen, maar volgen hem blindelings op.

Ik schreeuw al jaren dat mensen altijd eerst een handleiding moeten bestuderen. Maar de meeste mensen beginnen met op goed geluk van alles te proberen en als ze vast lopen, bellen ze een helpdesk. Investeren in eigen kennis is voor velen een stap te ver.
01-10-2019, 16:34 door Anoniem
Investeren in eigen kennis...

security@debian:~$ firejail --net=none libreoffice ~/Downloads/"vreemd_bestand".odt &

Windows thuisgebruikers wordt geadviseerd Sophos Sandboxie te gebruiken. Dat is een zandbak voor onder Windows, waarin men een verscheidenheid van applicaties veilig kan draaien, zoals voor het openen van PDF en ODT bestanden.

Sandboxie: Trust No Program
https://www.sandboxie.com/

Sandboxie wordt ontwikkeld als een openbare zandbak, dus waarvan de code door derden is in te zien, en deze is vrij verkrijgbaar gesteld. Het is zeer aan te bevelen de gebruikte webbrowser permanent in Sandboxie te laten draaien.


Onder Linux met Gnome valt het firejail(1) pakket, zie bovenstaand voorbeeld, ook zo te configuren dat een willekeurig Office bestand met slechts 1 muisklik in een zandbak met LibreOffice wordt geopend. Eenvoudiger kan het niet.
01-10-2019, 19:26 door Anoniem
Door Briolet:Ik schreeuw al jaren dat mensen altijd eerst een handleiding moeten bestuderen. Maar de meeste mensen beginnen met op goed geluk van alles te proberen en als ze vast lopen, bellen ze een helpdesk. Investeren in eigen kennis is voor velen een stap te ver.
En dat is volstrekt terecht in een omgeving waar actief wordt gezegd "geen training nodig, is intuitief". Helaas straalt dat ook af op andere omgevingen waar dat heel erg niet geldt. Ben weleens mensen tegengekomen die gewoon zwaar beledigd waren als je voorstelde de handleiding erbij te pakken.

Die handleidingen zijn vaak volstrekt onleesbaar voor de leek. Of zelfs de expert. *kuch* Zekere *kuch* fabrikanten van te dure netwerkhardware herrinner ik me als daar nogal een handje van hebben. De enige handleidingen die er waren waren "reference" handleidingen vol met "setfoo: set the value for foo" met als je veel geluk had de range van valide waarden, maar wat ze betekenen of wat de "foo" functie doet was al teveel gevraagd, laat staan hoe het in het grotere plaatje paste. Dan heb je dus derde-partijboeken nodig om dat dan weer in te vullen.

Of neem *kuch* sommige *kuch* documentatie voor software. Die denken wel eens dat de header files door doxygen halen en in vijf formaten meeleveren telt als "documentatie". Maar aan alleen de headers heb ik niets. Ik heb nog steeds nodig wat de functie doet, hoe de parameters in te vullen, en oh ja, hoe en wanneer in te zetten, oftewel hoe het in het grotere plaatje past. Dat is dus "documentatie" door en voor "experts". Maar niet heus.

Dan is het niet gek dat je als leek het niet eens probeert. Maargoed, beide problemen mogen best veranderen.
01-10-2019, 20:17 door Joep Lunaar
Zou dat gebruikers waarschuwingen negeren, een verschijnsel dat wel geduid kan worden als repressieve tolerantie [1], misschien iets te maken hebben met de stroom van onbegrijpelijke (fout)meldingen die een gebruiker op een zeker platform [2] met regelmaat overvalt ?

[1] https://nl.wikipedia.org/wiki/Repressieve_tolerantie
[2] https://en.wikipedia.org/wiki/Microsoft_Windows
02-10-2019, 06:55 door Anoniem
Door Bitje-scheef:
Door Wilbert Wintergaard: Toch bizar als een argeloze gebruiker de OK knop klikt.
Als de tekst zou luiden: behalve als u absoluut zeker bent dat u de rode lichten en het belsignaal op deze spoorwegovergang kunt negeren rijdt de betreffende persoon zeker ook ehh... app-verslaafd door ?!?

Nogmaals: vreemd dat men glasheldere waarschuwingen negeert.

Mensen worden lees-moe en hebben meestal haast, 2 onderdelen die passen in het recept van 'domweg' OK klikken.
Daarom helpt instructie slechts deels (wel aanzienlijk) in het spotten van malware/phishing emails.

Mensen zijn opgevoed met 'next, next, ok'
02-10-2019, 16:01 door Anoniem
Vroeger werdt bij ons op het werk veelal de kreet RTFM gebezigd! Je weet wel, Read the fucking mamual!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.