image

CISA waarschuwt voor malware die zich via Word-documenten verspreidt

zaterdag 15 augustus 2020, 08:00 door Redactie, 10 reacties

Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid heeft een waarschuwing afgegeven voor de KONNI-malware die via Word-documenten wordt verspreid. KONNI is een remote administration tool (RAT) waarmee aanvallers bestanden stelen, toetsaanslagen opslaan, screenshots maken en willekeurige code op besmette systemen uitvoeren.

Het Word-document dat de aanvallers gebruiken is voorzien van een kwaadaardige macro en lichtgrijze tekst. Tevens zijn er instructies toegevoegd die de ontvanger oproepen om macro's in te schakelen om de tekst zichtbaar te maken. Wanneer de gebruiker macro's inschakelt wordt de kwaadaardige code uitgevoerd en de KONNI-malware geïnstalleerd.

Eenmaal actief verzamelt de malware informatie over het besmette systeem, zoals ip-adres en gebruikersnaam. Tevens kan de malware toetsaanslagen opslaan, bestanden verwijderen, data uit het clipboard stelen, screenshots maken en profielinformatie met wachtwoorden uit Google Chrome, Opera en Mozilla Firefox stelen.

De KONNI-malware is niet nieuw, die werd drie jaar geleden al door Cisco ontdekt en was toen al drie jaar actief. Het CISA, onderdeel van het Amerikaanse ministerie van Homeland Security, stelt dat de malware op dit moment actief door aanvallers wordt gebruikt om systemen te infecteren. De waarschuwing van de overheidsinstantie bevat rules voor het intrusion detection system Snort om de malware te detecteren, alsmede adviezen om een infectie te voorkomen.

Reacties (10)
15-08-2020, 09:35 door [Account Verwijderd]
Group-policy: macro's weigeren (1) en alle werknemers ervan op de hoogte stellen, dat sommige functionaliteiten misschien niet meer actief zijn.
(Ik heb vele jaren op mijn voormalige werk Office gebruikt en daarin zelf Macro's uitvoeren volledig geblokkeerd en daar nooit iets van gemerkt)

(1)
Je vindt het zelfs bij de Windowsclub ;-)
https://www.thewindowsclub.com/block-macro-malware-microsoft-office
15-08-2020, 10:10 door allestein
Door Piet Slagwerker:
(Ik heb vele jaren op mijn voormalige werk Office gebruikt en daarin zelf Macro's uitvoeren volledig geblokkeerd en daar nooit iets van gemerkt)

Dan heb je alleen met de basis functionaliteit van Excel gewerkt. Ik gebruik macro's dagelijks. Bijvoorbeeld om te werken met de 3500 API's van ons ERP pakket of om op basis van data INSERT of UPDATE SQL statements te generen.
15-08-2020, 10:52 door Anoniem
Word gebruik je in de ontwerpfase, voor communicatie gebruik je pdf"s
15-08-2020, 12:44 door [Account Verwijderd]
Door allestein:
Door Piet Slagwerker:
(Ik heb vele jaren op mijn voormalige werk Office gebruikt en daarin zelf Macro's uitvoeren volledig geblokkeerd en daar nooit iets van gemerkt)

Dan heb je alleen met de basis functionaliteit van Excel gewerkt. Ik gebruik macro's dagelijks. Bijvoorbeeld om te werken met de 3500 API's van ons ERP pakket of om op basis van data INSERT of UPDATE SQL statements te generen.

Dat klopt. In Excel heb ik alleen maar eenvoudige spread sheets hoeven gebruiken/maken/bewerken.
15-08-2020, 12:50 door Anoniem
Door allestein:
Door Piet Slagwerker:
(Ik heb vele jaren op mijn voormalige werk Office gebruikt en daarin zelf Macro's uitvoeren volledig geblokkeerd en daar nooit iets van gemerkt)

Dan heb je alleen met de basis functionaliteit van Excel gewerkt. Ik gebruik macro's dagelijks. Bijvoorbeeld om te werken met de 3500 API's van ons ERP pakket of om op basis van data INSERT of UPDATE SQL statements te generen.

dan behoor je tot de 0,01% van alle office users wereldwijd die dit gebruikt
15-08-2020, 12:55 door Anoniem
Door allestein:
Door Piet Slagwerker:
(Ik heb vele jaren op mijn voormalige werk Office gebruikt en daarin zelf Macro's uitvoeren volledig geblokkeerd en daar nooit iets van gemerkt)

Dan heb je alleen met de basis functionaliteit van Excel gewerkt. Ik gebruik macro's dagelijks. Bijvoorbeeld om te werken met de 3500 API's van ons ERP pakket of om op basis van data INSERT of UPDATE SQL statements te generen.

Dan mag ik toch hopen dat Excel/MS Office de mogelijk biedt om in dit en dat specifieke document (bepaalde) macro's wél toe te staan, maar voor de rest niet!
Serieuze vraag omdat ikzelf geen MSO gebruik.
15-08-2020, 17:12 door allestein - Bijgewerkt: 15-08-2020, 17:14
Door Anoniem:
Door allestein:
Door Piet Slagwerker:
(Ik heb vele jaren op mijn voormalige werk Office gebruikt en daarin zelf Macro's uitvoeren volledig geblokkeerd en daar nooit iets van gemerkt)

Dan heb je alleen met de basis functionaliteit van Excel gewerkt. Ik gebruik macro's dagelijks. Bijvoorbeeld om te werken met de 3500 API's van ons ERP pakket of om op basis van data INSERT of UPDATE SQL statements te generen.

Dan mag ik toch hopen dat Excel/MS Office de mogelijk biedt om in dit en dat specifieke document (bepaalde) macro's wél toe te staan, maar voor de rest niet!
Serieuze vraag omdat ikzelf geen MSO gebruik.

Gewoon digitaal ondertekenen en niet ondertekende sheets weigeren.
15-08-2020, 17:18 door allestein
Door Anoniem:
Door allestein:
Door Piet Slagwerker:
(Ik heb vele jaren op mijn voormalige werk Office gebruikt en daarin zelf Macro's uitvoeren volledig geblokkeerd en daar nooit iets van gemerkt)

Dan heb je alleen met de basis functionaliteit van Excel gewerkt. Ik gebruik macro's dagelijks. Bijvoorbeeld om te werken met de 3500 API's van ons ERP pakket of om op basis van data INSERT of UPDATE SQL statements te generen.

dan behoor je tot de 0,01% van alle office users wereldwijd die dit gebruikt

Graag een linkje naar de bron van jouw bewering...
17-08-2020, 11:26 door Anoniem
Door Anoniem: Word gebruik je in de ontwerpfase, voor communicatie gebruik je pdf"s

Dit dus.....

Alle correspondentie naar buiten toe zou PDF, of ander 'platgeslagen' formaat, moeten zijn. Het heeft -NUL- nut om iemand een Word document door te sturen, als deze niet meer bewerkt hoeft te worden.
En intern zou alles op de server moeten staan, en niet via email heen en weer worden gestuurd.

Een simpele beleidsregel zou dit kunnen aansturen, en Office documenten weigeren als attachment vanuit de maILserver.

Maar helaas in beveiliging zo sterk als de zwakste schakel/medewerker..
18-08-2020, 16:23 door Anoniem
Door allestein:

Gewoon digitaal ondertekenen en niet ondertekende sheets weigeren.

Als we dat ooit nog eens mogen gaan beleven, dat digitaal ondertekenen 'gewoon' wordt. Het is niet de heilige graal, maar zou toch best helpen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.