Spionageaanvallen via macro's en DDE-feature in Microsoft Office

[Captain Kirk]

Verschillende anti-virusbedrijven waarschuwen vandaag voor spionageaanvallen die via Microsoft Office-documenten plaatsvinden en gebruikmaken van macro's en de DDE-feature. Deze tactieken worden al jaren toegepast, maar zijn dankzij social engineering nog altijd effectief.

Symantec bericht over een groep aanvallers die het heeft voorzien op verschillende overzeese ambassades van een Europees land en militaire en defensie doelwitten in het Midden-Oosten. De slachtoffers ontvangen een docx-bestand dat van de DDE-feature in Office gebruikmaakt om malware op het systeem te installeren. Dynamic Data Exchange (DDE) is een feature die aan oudere Windows-versies werd toegevoegd.

De feature maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. In het geval het Excel-document wordt bijgewerkt zal dit ook meteen in het Word-document zichtbaar zijn. De DDE-feature maakt het echter ook mogelijk om in plaats van Excel een applicatie zoals cmd.exe of Powershell aan te roepen en daarmee kwaadaardige commando's uit te voeren. De functionaliteit wordt sinds de tweede helft van vorig jaar actief door cybercriminelen gebruikt om gebruikers met malware te infecteren.

Voordat de DDE-feature kan worden geactiveerd moet het slachtoffer eerst zelf op "enable content" klikken. De aanvallers proberen het slachtoffer hiertoe te verleiden door te stellen dat het om een beveiligd document gaat en de inhoud alleen zichtbaar is door "enable content" in te schakelen. Vanwege het misbruik besloot Microsoft om vorig jaar december de DDE-feature in Word standaard uit te schakelen. In januari werd dit middels een update ook in Excel gedaan. De aangevallen slachtoffers die Symantec analyseerde hadden deze update echter niet geïnstalleerd en waren zodoende nog steeds kwetsbaar voor aanvallen via de DDE-feature.

Macro's

Naast het gebruik van de DDE-feature passen aanvallers ook nog steeds macro's toe. Anti-virusbedrijf Kaspersky Lab waarschuwt voor een campagne waarbij doelwitten doc-bestanden met kwaadaardige macro's ontvangen. Macro's laten gebruikers verschillende veelgebruikte taken automatiseren. Het is echter ook mogelijk om via een macro code op het systeem uit te voeren en bijvoorbeeld malware te downloaden en installeren. Om gebruikers te beschermen blokkeert Microsoft Office standaard het uitvoeren van macro's.

Net als bij de aanval met de DDE-feature vragen de aanvallers ook bij de macro-aanvallen medewerking van het slachtoffer. Die wordt gevraagd om eerst "enable editing" in te schakelen en daarna "enable content". Pas als dit is gedaan wordt de kwaadaardige macro uitgevoerd en raakt het systeem besmet met malware. De campagne met de macro-documenten is gericht tegen overheidsinstellingen, militaire entiteiten, telecombedrijven en onderwijsinstellingen in het Midden-Oosten.

 

 

bron: security.nl