Ruski špijuni koriste DDE slabost u MS Officeu koju Microsoft ne želi da ispravi

Vesti, 13.11.2017, 00:30 AM

Ruski špijuni koriste DDE slabost u MS Officeu koju Microsoft ne želi da ispravi

Sajber kriminalci i hakeri koje finansiraju države počeli su da koriste nedavno otkrivenu slabost u Micorosoft Officeu koju Microsoft ne smatra bezbednosnim propustom i za koju kompanija odbija da objavi zakrpu.

Prošlog meseca otkriveno je da funkcija Microsoft Officea nazvana Dynamic Data Exchange (DDE) može biti iskorišćena za pokretanje koda na napadnutom uređaju.

DDE protokol je jedan od nekoliko koje Microsoft koristi da bi dve aplikacije mogle da dele iste podatke. Ovaj protokol koriste brojne aplikacije, među kojima su MS Excel, MS Word, Quattro Pro, za jednokratni prenos podataka i kontinuiranu razmene podataka slanjem ažuriranja.

Ubrzo pošto se saznalo da je moguć ovakav napad, pojavile su se vesti o različitim napadima u kojima se koristi ova tehnika.

Sada, po prvi put, DDE tehniku napada koristi jedna APT (Advanced Persistent Threat) hakerska grupa, poznata po nazivima APT28 i Fancy Bear, za koju se veruje da je finansirana od strane ruske vlade.

Dok su analizirali novu fišing kampanju, istraživači iz kompanije McAfee su otkrili da napadači iz grupe Fancy Bear koriste DDE ranjivost od kraja oktobra.

U napadima se koriste dokumenti koji se odnose na nedavni teroristički napad. Napadači tako pokušavaju da prevare žrtve da kliknu na maliciozne dokumente i tako inficiraju malverom svoje sisteme.

Kako je DDE legitimna Microsoftova funkcija, većina antivirusa ne prikazuje upozorenje niti blokira dokumente sa DDE poljima. Zbog toga, svako ko klikne na maliciozni atačment sa nazivima SabreGuard2017.docx ili IsisAttackInNewYork.docx, nenamerno će pokrenuti maliciozni kod na svom računaru.

Kada se otvori, dokument kontaktira komandno-kontrolni server da bi instalirao malver prve faze nazvan Seduploader. Ovaj malver profiliše potencijalne žrtve tako što povlači osnovne informacije o inficiranom računaru i šalje ih napadačima. Ako je sistem, odnosno žrtva zanimljiva napadačima, oni kasnije instaliraju spywaree X-Agent i Sedreco.

Ovo nije prva kampanja u kojoj se koristi DDE tehnika napada. Ubrzo pošto su objavljeni detalji o DDE napadu, istraživači Cisco Talos tima otkrili su napade na nekoliko organizacija u kojima se koristila ova tehnika za širenje trojanca za daljinski pristup (RAT) bez fajlova DNSMessengera.

Krajem prošlog meseca, otkriveno je da se Locky ransomware i bankarski trojanac TrickBot šire preko Word dokumenata pomoću DDE tehnike.

Ista tehnika je korišćena i u spam kampanji u kojoj se širio malver Hancitor (Chanitor, Tordal).

S obzirom da Microsoft ne planira da zaštiti korisnike od ovakvih napada, moraćete sami da se zaštite onemogućavanjem DDE funkcije.

Ako koristite MS Word 2016 ili MS Excel 2016, idite u Options →Advanced, i zatim isključite "Update automatic links at open".

U MS Excel, uključite opciju "Ignore other applications that use Dynamic Data Exchange (DDE)".

Ipak, najbolji način da se zaštitite od ovakvih napada je da budete oprezni sa dokumentima koji vam emailom stižu od nepoznatih, ili neočekivano, i da ne klikćete na linkove u takvim dokumentima ukoliko niste proverili izvor.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kaspersky Lab o incidentu sa detekcijom malvera američke NSA

Kaspersky Lab o incidentu sa detekcijom malvera američke NSA

Ruski proizvođač antivirusa kompanija Kaspersky Lab suočio se sa optužbama amaeričke vlade da je namerno izvlačila poverljive fajlove sa računa... Dalje

Ekstenzija za Chrome prikuplja informacije sa Facebook i LinkedIn naloga korisnika

Ekstenzija za Chrome prikuplja informacije sa Facebook i LinkedIn naloga korisnika

Nova ekstenzija za Browse-Secure u Chrome Web prodavnici nudi korisnicima bezbedno surfovanje. Ono što iz opisa ekstenzije nećete saznati je da ekst... Dalje

17 godina star bag u MS Officeu omogućava instaliranje malvera bez interakcije korisnika

17 godina star bag u MS Officeu omogućava instaliranje malvera bez interakcije korisnika

Microsoft je juče objavio zakrpu za bezbednosni propust u MS Officeu CVE-2017-11882 koji može biti iskorišćen za pokretanje malicioznog koda bez i... Dalje

Ruski špijuni koriste DDE slabost u MS Officeu koju Microsoft ne želi da ispravi

Ruski špijuni koriste DDE slabost u MS Officeu koju Microsoft ne želi da ispravi

Sajber kriminalci i hakeri koje finansiraju države počeli su da koriste nedavno otkrivenu slabost u Micorosoft Officeu koju Microsoft ne smatra bezb... Dalje

Wikileaks počeo sa objavljivanjem izvornog koda špijunskih alata CIA

Wikileaks počeo sa objavljivanjem izvornog koda špijunskih alata CIA

Wikileaks je objavio izvorni kod alata koji navodno pripada američkoj Centralnoj obaveštajnoj agenciji (CIA) Hive, koji omogućava napadačima da ko... Dalje