De nieuwe trend: cyberaanvallen via macro’s en het nieuwe DDE-lek

De nieuwe trend: cyberaanvallen via macro’s en het nieuwe DDE-lek

DearBytesBlogDe nieuwe trend: cyberaanvallen via macro’s en het nieuwe DDE-lek

dinsdag 14 november 2017

Zo voorkom je misbruik via Office-documenten

Wat doe je als cybercriminelen op grote schaal systeemcommando’s uitvoeren via Office-documenten, en Microsoft het probleem niet verhelpt? Dan moet je zelf aan de slag! We zetten 3 mitigerende maatregelen voor je op een rij.

Wat is er ook alweer aan de hand?

Fancy Bear, ook wel bekend als APT28, liet de afgelopen weken weer van zich horen. De aan Rusland gelinkte hackersgroep slingerde Word-documenten de wereld in met namen als ‘IsisAttackInNewYork.doc’ en ‘SabreGuard2017.docx’. Deze bestanden bieden waarschijnlijk weinig nieuws over de terreuraanslag van eind oktober, of over een oefening van het Amerikaanse leger in Oost-Europa. Ze geven je daarentegen wel een hoop narigheid.

Wat gebeurt er als je zo’n document opent?

De hackers belonen het openen van de documenten met een stukje malware genaamd Seduploader. Hiermee scannen ze de computer van het slachtoffer om te kijken of het zin heeft om spyware te installeren.

Maken de hackers gebruik van een bekend lek?

Volgens virusbestrijder McAfee maakt Fancy Bear al vanaf eind oktober gebruik van een lek in de Microsoft Office-feature Dynamic Data Exchange (DDE). Dit onderdeel maakt het mogelijk om data van het ene Word-document in een ander Word-document te injecteren en biedt aanvallers daarmee een alternatief voor macro’s.

DDE is echter ook te misbruiken via Microsoft Outlook en Calendar-uitnodigingen, waardoor een aanvaller in de vorm van een e-mail zonder attachment vrij eenvoudig zijn code bij een slachtoffer krijgt.

Wanneer is het DDE-lek ontdekt?

Het lek kwam begin oktober aan het licht. Cybercriminelen doken er vervolgens snel bovenop, onder andere voor de verspreiding van de ransomware Locky. Fancy Bear gebruikt DDE zoals gezegd sinds eind oktober als methode om computers met malware te besmetten. Ook nu weer is de korte tijd tussen bekend worden van het lek en misbruik ‘in het wild’ opvallend. We hebben dus maar kort de tijd om kritieke lekken te patchen en misbruik onmogelijk te maken.

Welke maatregelen neemt Microsoft?

Voor Microsoft redenen genoeg om snel met een oplossing op de proppen te komen. Toch? Volgens Microsoft is er echter geen sprake van een bug. Ook bij de aanvallen door cybercriminelen werkt de DDE-functie gewoon zoals bedoeld. De aanval werkt bovendien alleen als de gebruiker de Protected View-beveiliging van Word heeft uitgeschakeld en zelf toestemming geeft voor het uitvoeren van code.

Welke mitigerende maatregelen kan ik nemen?

Doordat Microsoft geen actie onderneemt, moeten we zelf aan de bak. Hoe voorkom je dat je slachtoffer wordt van aanvallen via Office-documenten? 3 maatregelen die je nu meteen kunt nemen:

  1. Schakel DDEAuto uit
    Maak bijvoorbeeld gebruik van ‘Disable DDEAuto’. Dit is een registryfile die wordt bijgehouden op GitHub en ervoor zorgt dat de ‘update links’- en ‘embedded files’-functionaliteiten worden uitgeschakeld.
  2. Bekijk de oplossingen die Microsoft aanreikt
    Microsoft legt op hun TechNet-website en op de supportwebsite uit hoe je OLE-objecten en macro’s beter onder controle krijgt. Dit voorkomt echter niet dat .exe-bestanden direct worden gedownload en uitgevoerd.
  3. Voorkom dat Office-onderdelen bepaalde andere executables aanroepen
    Het gevolg van een DDE- maar ook van een macro-aanval is dat een aanvaller bijvoorbeeld Word of Outlook een ander programma laat starten. Nu is het niet vreemd dat Word een printerprogramma aanroept, maar dat het een systeemcommando wil uitvoeren, is voor de meeste gebruikers zeldzaam.

Het researchteam van DearBytes heeft dan ook vastgesteld dat een heel effectieve maatregel is om door middel van endpoint-protectionsoftware te voorkomen dat Office-applicaties bepaalde andere executables starten.

DearBytes heeft met behulp van McAfee Access Protection een blokkerende rule ontwikkeld die uitvoer van kwaadaardige code via DDE voorkomt. In deze ‘blokkade’ zijn bijvoorbeeld ongebruikelijke executables opgenomen zoals cmd.exe, powershell.exe, rundll32.exe en cscript.exe. De rule blijkt naast DDE-aanvallen ook zeer effectief tegen macro-aanvallen.

Geïnteresseerd in de blokkerende rule van DearBytes? Kijk dan hier voor een meer technische analyse op onze speciale malwarepagina.