Microsoft waarschuwt voor proxy-aanpassing via docx-bestand

[Captain Kirk]

Microsoft waarschuwt Office-gebruikers voor een nieuwe aanval waarbij aanvallers de proxy-instellingen via een kwaadaardig docx-bestand proberen aan te passen. Door de proxy-instellingen te veranderen kunnen de aanvallers het verkeer van de gebruiker monitoren en manipuleren.

Zo is het bijvoorbeeld mogelijk om wachtwoorden of andere vertrouwelijke gegevens te onderscheppen. De aanval begint met een bevestigingsmail van een bestelling. Als bijlage is er een docx-bestand meegestuurd. Het document bevat een embedded OLE-object. Een OLE-object kan bijvoorbeeld een script zijn dat aan de tekst wordt toegevoegd. Zodra gebruikers op het object klikken wordt gevraagd of ze het script willen uitvoeren. Het script kan vervolgens malware op de computer installeren of andere acties uitvoeren.

In het geval van de nu waargenomen aanval worden via het script de proxy-instellingen in het Windows Register aangepast en een eigen certificaat geïnstalleerd. Dit certificaat laat de aanvallers ook via https versleuteld verkeer inspecteren. Verder wordt er voor Firefox een apart certificaat geïnstalleerd, aangezien Firefox niet de certificaatdatabase van Windows gebruikt, maar een eigen systeem. Om gebruikers te beschermen adviseert Microsoft om alleen berichten van vertrouwde afzenders en websites te openen. Daarnaast kan het Windows Register worden aangepast om te voorkomen dat OLE-objecten in documenten worden uitgevoerd.

 

 

bron: security.nl