Microsoft ziet aanvallen in Nederland met InPage-documenten

[Captain Kirk]

Internetgebruikers in Nederland zijn het doelwit geworden van aanvallen met kwaadaardige InPage-documenten, die vervolgens een verouderde versie van VLC media player gebruikten om het systeem verder te compromitteren. InPage is een tekstverwerker die talen als Arabisch, Farsi en Urdu ondersteunt.

Het programma wordt vooral gebruikt om documenten in Urdu op te stellen, de officiële nationale taal van Pakistan. Bij de aanvallen die Microsoft zag werd er een kwaadaardig InPage-document naar doelwitten gemaild. Dit document maakt misbruik van een kwetsbaarheid die minstens al sinds september 2016 wordt aangevallen. Het is onbekend of het beveiligingslek inmiddels al is gedicht.

Wanneer gebruikers met een kwetsbare InPage-versie het kwaadaardige document openen wordt er een legitieme, maar verouderde versie van VLC media player op het systeem geplaatst. Deze versie is kwetsbaar voor dll-hijacking, ook wel dll-preloading genoemd. Bij dergelijke aanvallen wordt er een kwaadaardig dll-bestand uit een lokale directory geladen, in plaats van een systeemmap.

Windows-applicaties maken gebruik van dll-bestanden om te functioneren. Deze dll-bestanden bevinden zich in een systeemmap van Windows. Het is een bekend probleem dat sommige applicaties niet eerst in de systeemmap kijken, maar in de lokale directory waar de applicatie zich bevindt. Een aanvaller die in deze directory een kwaadaardig dll-bestand weet te krijgen kan zo via het programma het kwaadaardige dll-bestand laten uitvoeren en de computer infecteren.

Het kwaadaardige dll-bestand dat via VLC media player wordt gestart maakt verbinding met een command en control-server die de uiteindelijke malware op het systeem downloadt en installeert. Deze malware geeft de aanvallers volledige controle over het systeem. Microsoft zag de meeste aanvallen in Pakistan, maar ook in Nederland zijn aanvallen waargenomen. Onder andere overheidsinstellingen waren het doelwit van de aanvallers. In welke landen laat Microsoft niet weten.

 

 

bron: security.nl