Nieuwe aanval via Microsoft Office-documenten werkt zonder macro's

[Captain Kirk]

Aanvallers hebben een nieuwe methode gevonden om systemen via malafide Microsoft Office-documenten met malware te infecteren, waarbij er geen gebruik wordt gemaakt van macro's. Daarbij kan alleen een preview van het document, zonder het bestand daadwerkelijk te openen, voldoende zijn om besmet te raken. Dat meldt beveiligingsonderzoeker Kevin Beaumont.

Onderzoekers van nao_sec ontdekten via Googles online virusscandienst VirusTotal een .doc-document dat vanaf een Belarussisch ip-adres was geüpload. Het document gebruikte de Word remote template feature om een html-bestand van een webserver te downloaden, die het ms-msdt-protocol gebruikt om automatisch kwaadaardige code uit te voeren. Msdt staat voor Microsoft Support Diagnostic Tool en is een tool waarmee Microsoft informatie verzamelt en naar de eigen servers stuurt.

In het geval van het kwaadaardige document was een malafide msdt-url toegevoegd die Microsoft Office automatisch verwerkt, waarna de gedownloade PowerShell-code wordt uitgevoerd. Dit gebeurt ook wanneer macro's zijn uitgeschakeld. De Protected View-beveiliging van Microsoft Office biedt bescherming, maar wanneer het document naar een .rtf-document wordt veranderd, wordt de kwaadaardige code uitgevoerd zonder het bestand te openen en biedt Protected View ook geen bescherming. Alleen het bekijken van het document via de preview in Windowsverkenner is voldoende.

"Het is een zeroday die het uitvoeren van code in Office-producten mogelijk maakt. Wanneer er een makkelijke manier is om code direct vanuit Office uit te voeren, hebben mensen hier in het verleden misbruik van gemaakt om slechte dingen te doen", aldus Beaumont, die opmerkt dat de detectie door beveiligingsleveranciers slecht is. Meer dan een maand geleden blijkt dat een ander kwaadaardig document dat van de aanval gebruikmaakt naar VirusTotal is geüpload.

Volgens het Internet Storm Center werkt de nieuwe aanval niet met alle Office-versies. Er zijn echter verschillende aanvallen tegen Office 2013, 2016, 2019 en 2021 gedemonstreerd. Beaumont merkt op dat ook Office 365 Semi-Annual Channel kwetsbaar is. De insider en meest recente versies van Office zouden niet kwetsbaar zijn, wat kan suggereren dat Microsoft in deze versies het probleem stilletjes heeft verholpen, maar dit is onbevestigd. Als tijdelijke oplossing wordt door Will Dormann van het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit aangeraden om het ms-msdt-protocol via het Windows-register uit te schakelen en de preview-optie in Windowsverkenner uit te zetten.

 

bron: https://www.security.nl