Microsoft dicht actief aangevallen Windows- en Office-lekken

[Captain Kirk]

Tijdens de patchdinsdag van september heeft Microsoft 12 beveiligingsupdates uitgebracht die in totaal 56 lekken verhelpen. Drie van de verholpen beveiligingslekken waren al voor de updates bekend, waarvan er twee actief werden aangevallen.

In dit geval is er sprake van zogeheten zero day-lekken. De drie kwetsbaarheden bevonden zich in Internet Explorer, Windows, Office en Microsoft Lync. Via het IE-lek zou een aanvaller op afstand willekeurige code kunnen uitvoeren. Deze kwetsbaarheid was al openbaar gemaakt voordat de update verscheen, maar werd niet aangevallen. Dat geldt niet voor de kwetsbaarheden in Office, Windows en Lync. Deze werden wel actief bij aanvallen ingezet.

In het geval van de kwetsbaarheid voor Office, Windows en Lync betreft het een probleem met het verwerken van OpenType fonts. Een aanvaller kon hierdoor zijn rechten op het systeem verhogen. In dit geval moest de aanvaller al toegang tot de computer hebben. De tweede kwetsbaarheid betreft een probleem in Microsoft Office. Door het openen van een kwaadaardig EPS-bestand kon een aanvaller de computer volledig overnemen.

De overige updates die deze maand verschenen zijn voor Exchange Server, Skype for Business Server, Windows, Microsoft Edge en Office. Vijf van de beveiligingsupdates zijn als kritiek beoordeeld, wat inhoudt dat een aanvaller via de verholpen kwetsbaarheden willekeurige code, zoals malware, op de computer kon uitvoeren. De updates zijn te downloaden via Windows Update en Microsoft.com. Op de meeste computers zal het downloaden en installeren automatisch plaatsvinden.

 

bron: security.nl

 

 

 

[Captain Kirk]

Een recent beveiligingslek in Microsoft Office dat in april werd gepatcht wordt al enkele weken actief aangevallen en gebruikt om een backdoor op Windowscomputers te installeren. Een probleem, want veel organisaties installeren geen beveiligingsupdates voor Microsoft Office of wachten hier erg lang mee.

Door het openen van een kwaadaardig document kan een aanvaller vervolgens malware op de computer installeren. Een tactiek die al jaren met succes wordt toegepast. Vorig jaar verrichte het Britse anti-virusbedrijf Sophos onderzoek (pdf) naar de kwetsbaarheden die aanvallers bij dit soort aanvallen gebruiken. Twee lekken, één uit 2010 en één uit 2012, werden door de meeste van de kwaadaardige documenten aangevallen. Ook uit andere onderzoeken blijkt dat de kwetsbaarheid uit 2012 het favoriete doelwit van aanvallers is.

Hoewel er voor het nu aangevallen Office-lek al zo'n vijf maanden een update beschikbaar is, is het de vraag hoeveel organisaties die hebben geïnstalleerd. Al voordat de patch van Microsoft verscheen werd de kwetsbaarheid aangevallen. Begin augustus zag Sophos echter een reeks documenten voorbij komen die van het lek gebruik proberen te maken. De documenten hebben onderwerpen als "WUPOS_update.doc", "ammendment.doc", "Information 2.doc" en "Anti-Money Laudering & Suspicious cases.doc".

In het geval de bestanden op een ongepatchte machine worden geopend zal de code in het document een backdoor genaamd Uwarrior op de computer installeren. Hiermee hebben de aanvallers volledige controle over de machine. Om infectie te voorkomen krijgen beheerders en gebruikers het advies om Office te patchen en geen onverwachte of ongevraagde documenten te openen. Vorige week waarschuwde IBM al dat e-mailbijlagen een comeback als aanvalsvector maken.bron:

 

security.nl'>security.nl