Af Torben B. Sørensen, 12/10/17
I stedet for makroer kan angribere anvende DDE (Dynamic Data Exchange) til at afvikle programkode i Microsoft Word. Det har sikkerhedsforskere fra Sensepost opdaget.
Metoden går ud på at oprette et Word-dokument med et indlejret felt. I koden til feltet skriver angriberen den kommando, der skal afvikles.
Hvis et potentielt offer forsøger at åbne Word-dokumentet, afføder det to advarsler. Den første siger, at dokumentet har links til data, der kan komme fra andre filer.
Den anden advarsel beder brugeren bekræfte, at vedkommende ønsker at køre kommandoen.
Ifølge sikkerhedsforskerne er det muligt at skjule den anden advarsel ved at bruge en bestemt syntaks.
Microsoft oplyser til Sensepost, at funktionen fungerer som planlagt. Der er ingen planer om at ændre på den.
Siden Sensepost offentliggjorde metoden, har sikkerhedsforskere observeret flere forsøg på at udnytte den. Nogle dokumenter er således blevet uploadet til Virustotal.
Anbefaling
Vær opmærksom på de advarsler, Word kommer med, når I åbner dokumenter.
Links
- Macro-less Code Exec in MSWord, blogindlæg fra Sensepost
- In the wild: somebody is using the Word DDE flaw to deliver Cobalt Strike remote access framework from a .gov server, @GossiTheDog på Twitter
- Newly Disclosed Vulnerability in MS Word Allows Code Execution Without Macros Enabled, blogindlæg fra Cloudmark
- Cybercriminals hijacked a government server to send sophisticated malware to U.S. companies, Cyberscoop