Japan waarschuwt voor malafide Word-documenten in pdf-bestanden
De Japanse overheid heeft een waarschuwing gegeven voor criminelen die malafide Word-documenten in pdf-bestanden verbergen en daarmee aanvallen uitvoeren. Volgens het Japanse Computer Emergency Response Team Coordination Center (JPCERT/CC) gaat het om een nieuwe techniek die is bedoeld om detectie te voorkomen en vorige maand bij aanvallen is ingezet.
De aanvallers hadden een Word-document met een malafide macro in een pdf-bestand verwerkt. Deze bestanden zijn echter ook in Word te openen. De aanvallers zouden op deze manier analyses door tools zoals pdfid proberen te omzeilen. Ook zou de malafide inhoud mogelijk niet door sandboxes of virusscanners worden herkend, zo stelt de Japanse overheidsinstantie. De macro's in het ingebedde Word-document moeten nog steeds handmatig door de gebruiker worden geactiveerd.
Word blokkeert wegens veiligheidsrisico's standaard het uitvoeren van macro's en het toevoegen van een Word-document aan een pdf verandert dit niet. Daarnaast zal bij het embedden van een Excel-document in een pdf bij het opstarten van Excel eerst een waarschuwing verschijnen dat de bestandsextensie verschilt. Het bestand wordt pas geladen als de gebruiker deze waarschuwing accepteert. Het is dan ook onwaarschijnlijk dat aanvallers Excel-bestanden zullen gebruiken, aldus JPCERT/CC.
Net zo min als PDF's moeten binnengetrokken worden die macro's kunnen bevatten.
Embedding is dodelijk voor security. Dit verhaal bewijst hoe schadelijk die embrace & extend politieken van Big Tech en de rest wel zijn.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.