Kwaadaardig Word-document installeert malware via DDE-protocol

[Captain Kirk]

Aanvallers maken gebruik van kwaadaardige Word-documenten om internetgebruikers met malware te infecteren. In tegenstelling tot veel andere aanvallen waarbij Word-documenten worden ingezet bevatten deze documenten geen macro's of embedded OLE-objecten. De aanvallers maken gebruik van het Dynamic Data Exchange (DDE) protocol om via het document kwaadaardige code op de computer uit te voeren.

Via dit protocol is het mogelijk om naar een bestand te linken dat het document vervolgens probeert te openen. Het is bedoeld om data van het ene document in een ander document te injecteren. Hierbij wordt de gebruiker nog wel om toestemming gevraagd. In augustus werd er al voor een soortgelijke aanval gewaarschuwd. Onlangs publiceerde securitybedrijf SensePost een blogposting over het uitvoeren van kwaadaardige code in Word-documenten via het DDE-protocol. Het securitybedrijf had Microsoft in augustus gewaarschuwd, maar volgens de softwaregigant ging het om een feature en zou er voorlopig geen actie worden ondernomen.

Nu meldt Cisco dat het aanvallen heeft waargenomen waarbij kwaadaardige Word-documenten van het DDE-protocol gebruikmaken. De documenten worden verspreid via e-mails die van de Amerikaanse beurswaakhond SEC afkomstig lijken. Zodra het document wordt geopend krijgen gebruikers de vraag of ze het document willen bijwerken met data van de bestanden waarnaar wordt gelinkt. In dit geval wordt er kwaadaardige code gedownload die de uiteindelijke malware installeert. Volgens Cisco werd de kwaadaardige code op een gehackte server van de Amerikaanse staat Louisiana gehost. De malware die uiteindelijk wordt geïnstalleerd verzamelt informatie over het systeem, waaronder het serienummer van het bios, en geeft aanvallers volledige controle over de computer.

 

 

bron: security.nl