Laten we eens zien waarom hackers houden gebruikmaken van specifieke Microsoft Office kwetsbaarheden. Hieronder vindt u een aantal van de meest gevaarlijke kwetsbaarheden in MS Office ontdekt in de afgelopen jaren te vinden.
Hackers zijn het benutten van Microsoft Office kwetsbaarheden om verschillende vormen van malware te verspreiden. Afhankelijk van het doel en de schaal van de campagne, de malware kan worden ontworpen om de verschillende inloggegevens en bespioneren targets te stelen’ activiteiten, neerzetten ransomware en cryptogeld mijnwerkers, DDoS-malware, onder andere. Een recent rapport uitgevoerd door Kaspersky is gebleken dat ongeveer 70% van alle aanvallen van het bedrijf gedetecteerd in het eerste kwartaal van 2018 waren op zoek naar een Microsoft Office kwetsbaarheid benutten. Het aantal is veel groter dan in voorgaande jaren.
Wist u dat zelfs oude kwetsbaarheden worden vaak gebruikt in lopende campagnes als gebruikers herhaaldelijk hebben ontbroken om hun systemen te patchen? Volgens een 2017 RAND rapport, de gemiddelde levensverwachting van kwetsbaarheden is bijna zeven jaar. Dus, wees niet verrast door het feit dat een deel van de kwetsbaarheden in deze lijst zijn een paar jaar oud.
Volgens Kaspersky, twee van de meest uitgebuite Microsoft Office zwakke plekken ontdekt in 2017: CVE-2017-11.882 en CVE-2018-0802.
Vanaf vorig jaar, een aantal van zero-day exploits voor Microsoft Office begon om pop-up, Kaspersky wees erop. Deze campagnes op het eerste gezicht te worden gericht, maar ze snel verleggen hun focus naar een breder scala van aan te vallen. Dit gebeurt wanneer aanvallers beginnen met behulp van schadelijke document bouwers.
CVE-2017-11.882
Een interessant voorbeeld ter illustratie van het snelle tempo van het draaien van een campagne gericht op publiek is CVE-2017-11.882, een formule-editor kwetsbaarheid die werd gepatcht door Microsoft november 14, 2017 als onderdeel van Patch Tuesday. De kwetsbaarheid bevindt zich in Microsoft Equation Editor, een Microsoft Office-onderdeel, en is een stackbufferoverloop waarmee externe code op een kwetsbaar systeem. De component is samengesteld in november 9, 2000.
Van de officieel adviesorgaan: “Een beveiligingslek in Microsoft Office-software wanneer de software niet in slaagt om objecten in het geheugen goed omgaan. Een aanvaller die het beveiligingslek misbruikt, kan willekeurige code uitvoeren in de context van de huidige gebruiker. Als de huidige gebruiker is aangemeld met beheerdersrechten, kan een aanvaller de controle over het desbetreffende systeem.”
Malware in verband met dit beveiligingslek bevat AgentTesla, Andromeda, BONDUPDATER, HAWKEYE, LCG Kit, Loki, POWRUNNER, QuasarRAT, RemcoS RAT, ThreadKit Exploit Kit.
Hoewel dit beveiligingslek is relatief oud, het werd uitgebuit in actieve gedetecteerd in juni spam campagnes. Zoals we gemeld, een actieve malware campagne die gebruik maakt van e-mails in Europese talen distribueert RTF-bestanden die de CVE-2017-11.882 exploiteren dragen. De exploit aanvallers de mogelijkheid om kwaadaardige code automatisch worden uitgevoerd zonder de noodzaak van tussenkomst van de gebruiker.
CVE-2018-0802
Dit is een andere kwetsbaarheid uitvoering van externe code in de Equation Editor van Microsoft Office-software die wordt geactiveerd wanneer de software niet in slaagt om objecten in het geheugen goed omgaan. Equation Editor in Microsoft Office 2007, Microsoft Office 2010, Microsoft Office 2013, en Microsoft Office 2016 kwetsbaar door de manier waarop objecten worden behandeld in het geheugen.
Waarom aanvallers dol op het benutten van Microsoft Office kwetsbaarheden CVE-2017-11.882 en CVE-2018-0802
De verklaring is dat aanvallers de voorkeur aan eenvoudige, logisch bugs, Kaspersky zei. Dat is de reden waarom deze twee formule-editor kwetsbaarheden zijn een van de meest uitgebuite bugs in Microsoft Office. De bugs zijn “betrouwbaar en werken in elke versie van Word uitgebracht in het verleden 17 jaar". En wat het belangrijkste is dat het creëren van een exploit voor één van hen niet nodig geavanceerde vaardigheden en specifieke technische kennis. En de reden hiervoor is omdat “de vergelijking editor binaire leverde geen van de moderne beveiligingen en beperkende factoren die je verwacht van een applicatie hebben 2018", de onderzoekers opgemerkt.
CVE-2017-0199
Volgens een analyse van Opgenomen Future, CVE-2017-0199 is de meest uitgebuite MS Office bug voor 2017. De bug werd gedetecteerd door FireEye onderzoekers in april, 2017. Het probleem bevindt zich in MS Office RTF-documenten, en het kan leiden tot aanvallers te downloaden en uitvoeren van een Visual Basic script met PowerShell commando's, met de voorwaarde dat de gebruiker een document met een ingesloten exploit opent.
De onderzoekers analyseerden een aantal Office-documenten te exploiteren CVE-2017-0199 die gedownload en uitgevoerd kwaadaardige payloads uit verschillende bekende malware families. De bug werd met name gebruikt door de zogeheten Gorgon Group opereren vanuit Pakistan, die vooral gericht overheidsorganisaties in de U.K.. en de Verenigde Staten.
Malware geassocieerd met CVE-2017-0199 omvat DMShell ++, njRAT, Pony, QuasarRAT, RemcoS RAT, SHUTTERSPEED, Silent Doc Exploit Kit, Threadkit Exploit Kit. De kwetsbaarheid toegestaan malware in de documenten in te voegen door misbruik te maken van de auto-update van embedded links.
https://sensorstechforum.com/microsoft-office-infections-cve-2017-0199/”] Hackers Bedenk Microsoft Office Infecties via CVE-2017-0199 Exploit
CVE-2017-8570
Dit is nog een van de top Microsoft Office kwetsbaarheden. Volgens de officieel adviesorgaan, Microsoft Office is gevoelig voor een kwetsbaarheid op afstand code-uitvoering die kan worden benut om willekeurige code uit te voeren in het kader van de op dat moment ingelogde gebruiker. Mislukte exploit pogingen kan leiden tot denial of service voorwaarden.
De kwetsbaarheid werd misbruikt om Formbook distribueren, QuasarRAT, Sisfader RAT, Threadkit Exploit Kit, en Trickbot malware. Het is opmerkelijk dat de Sisfader RAT handhaaft persistentie op zichzelf te installeren als een service bij het opstarten tegen kwaadaardige RTF-bestanden.
CVE-2019-1035
De kwetsbaarheid werd gepatcht in juni 2019 Patch Tuesday, en wordt beschouwd als zeer ernstig. Volgens Allan Liska, senior oplossingen architect bij Opgenomen Future, "dit is een andere kwetsbaarheid voor geheugenbeschadiging die een aanvaller nodig heeft om een speciaal vervaardigd Microsoft Word-document voor een slachtoffer te openen sturen, Als alternatief kan een aanvaller een slachtoffer te overtuigen om te klikken op een link naar een website hosten van een schadelijke Microsoft Word-document."
Wat erger is, is dat de fout invloed op alle versies van Microsoft Word op zowel Windows als Mac besturingssystemen, evenals Office 365. "Gezien het feit dat Microsoft Word-documenten zijn een favoriet exploitatie instrument van cybercriminelen, indien dit beveiligingslek omgekeerde is ontworpen het kan op grote schaal worden benut,”Voegde de onderzoeker.
Zoals het blijkt, aanvallers dol op het benutten van Microsoft Office kwetsbaarheden. De gebreken we hierboven vermeld, zijn zeker ernstig, maar ze zijn gewoon een klein gedeelte van het arsenaal gebruikt door dreiging acteurs. Patchen van het besturingssysteem, zodra een security fix komt is zeer belangrijk, maar soms kan het niet genoeg zijn zoals blijkt uit de overvloed van zero-day exploits (die niet alleen op Microsoft-producten, maar ook een reeks andere software). Omdat veel van de exploit campagnes worden verspreid via e-mail en vereisen dat de interactie van de gebruiker van het openen van een kwaadaardig e-mail / file / link, vaststelling van phishing security awareness wordt een topprioriteit voor zowel zakelijke als thuisgebruikers.