Microsoft ziet toename van aanvallen via macro-documenten

[Captain Kirk]

Het gebruik van kwaadaardige macro's in Microsoft Office-documenten om zo malware te verspreiden is aan het toenemen, zo laat Microsoft weten. Lange tijd hadden aanvallers het vooral voorzien op kwetsbaarheden in software, die via exploits werden aangevallen.

"Continue verbeteringen in platform- en applicatiebeveiliging hebben voor een afname van software-exploits gezorgd. Aanvallers hebben een alternatieve infectievector in social engineering-aanvallen gevonden die van functionaliteit zoals macro's gebruikmaken", zegt Microsofts Giulia Biagini. Macro's laten gebruikers verschillende veelgebruikte taken automatiseren.

Het is echter ook mogelijk om via een macro code op het systeem uit te voeren en bijvoorbeeld malware te downloaden en installeren. Om gebruikers te beschermen blokkeert Microsoft Office standaard het uitvoeren van macro's. Middels social engineering weten aanvallers slachtoffers zover te krijgen dat ze de macro toch uitvoeren en zo hun eigen systemen infecteren.

"Macro's zijn ook populair onder aanvallers vanwege de uitgebreide mogelijkheden die Visual Basic for Applications (VBA) biedt en de geprivilegieerde context waarin macro's worden uitgevoerd. Een ander voordeel voor de aanvallers, net als bij andere scriptingtalen, is dat ze de kwaadaardige code via obfuscatie kunnen verbergen", gaat Biagini verder. Ook kan de kwaadaardige code uit de macro worden gehaald en in andere onderdelen van het worden document geplaatst, zoals tekstlabels, formulieren en Excel-cellen.

De bevindingen van Microsoft staan niet op zichzelf. Securitybedrijf Cofense liet gisteren weten dat van alle kwaadaardige documenten die het vorige maand ontdekte, in 45 procent van de gevallen macro's werden gebruikt om de ontvanger met malware te infecteren. Deze week kwamen ook securitybedrijven FireEye en Palo Alto Networks met analyses van gerichte aanvallen tegen de mediasector in Japan en een land in het Midden-Oosten waarbij macro-documenten waren ingezet. Het zijn echter niet alleen zogeheten "advanced persistent threats" die macro's inzetten. Vorige maand werd er nog bankmalware ontdekt die zich op deze manier verspreidde.

 

 

bron: security.nl