Ruski špijuni koriste DDE slabost u MS Officeu koju Microsoft ne želi da ispravi

Vesti, 13.11.2017, 00:30 AM

Ruski špijuni koriste DDE slabost u MS Officeu koju Microsoft ne želi da ispravi

Sajber kriminalci i hakeri koje finansiraju države počeli su da koriste nedavno otkrivenu slabost u Micorosoft Officeu koju Microsoft ne smatra bezbednosnim propustom i za koju kompanija odbija da objavi zakrpu.

Prošlog meseca otkriveno je da funkcija Microsoft Officea nazvana Dynamic Data Exchange (DDE) može biti iskorišćena za pokretanje koda na napadnutom uređaju.

DDE protokol je jedan od nekoliko koje Microsoft koristi da bi dve aplikacije mogle da dele iste podatke. Ovaj protokol koriste brojne aplikacije, među kojima su MS Excel, MS Word, Quattro Pro, za jednokratni prenos podataka i kontinuiranu razmene podataka slanjem ažuriranja.

Ubrzo pošto se saznalo da je moguć ovakav napad, pojavile su se vesti o različitim napadima u kojima se koristi ova tehnika.

Sada, po prvi put, DDE tehniku napada koristi jedna APT (Advanced Persistent Threat) hakerska grupa, poznata po nazivima APT28 i Fancy Bear, za koju se veruje da je finansirana od strane ruske vlade.

Dok su analizirali novu fišing kampanju, istraživači iz kompanije McAfee su otkrili da napadači iz grupe Fancy Bear koriste DDE ranjivost od kraja oktobra.

U napadima se koriste dokumenti koji se odnose na nedavni teroristički napad. Napadači tako pokušavaju da prevare žrtve da kliknu na maliciozne dokumente i tako inficiraju malverom svoje sisteme.

Kako je DDE legitimna Microsoftova funkcija, većina antivirusa ne prikazuje upozorenje niti blokira dokumente sa DDE poljima. Zbog toga, svako ko klikne na maliciozni atačment sa nazivima SabreGuard2017.docx ili IsisAttackInNewYork.docx, nenamerno će pokrenuti maliciozni kod na svom računaru.

Kada se otvori, dokument kontaktira komandno-kontrolni server da bi instalirao malver prve faze nazvan Seduploader. Ovaj malver profiliše potencijalne žrtve tako što povlači osnovne informacije o inficiranom računaru i šalje ih napadačima. Ako je sistem, odnosno žrtva zanimljiva napadačima, oni kasnije instaliraju spywaree X-Agent i Sedreco.

Ovo nije prva kampanja u kojoj se koristi DDE tehnika napada. Ubrzo pošto su objavljeni detalji o DDE napadu, istraživači Cisco Talos tima otkrili su napade na nekoliko organizacija u kojima se koristila ova tehnika za širenje trojanca za daljinski pristup (RAT) bez fajlova DNSMessengera.

Krajem prošlog meseca, otkriveno je da se Locky ransomware i bankarski trojanac TrickBot šire preko Word dokumenata pomoću DDE tehnike.

Ista tehnika je korišćena i u spam kampanji u kojoj se širio malver Hancitor (Chanitor, Tordal).

S obzirom da Microsoft ne planira da zaštiti korisnike od ovakvih napada, moraćete sami da se zaštite onemogućavanjem DDE funkcije.

Ako koristite MS Word 2016 ili MS Excel 2016, idite u Options →Advanced, i zatim isključite "Update automatic links at open".

U MS Excel, uključite opciju "Ignore other applications that use Dynamic Data Exchange (DDE)".

Ipak, najbolji način da se zaštitite od ovakvih napada je da budete oprezni sa dokumentima koji vam emailom stižu od nepoznatih, ili neočekivano, i da ne klikćete na linkove u takvim dokumentima ukoliko niste proverili izvor.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Seks ucena: Prevaranti od prošle nedelje zaradili 50000 dolara od samo 30 žrtava

Seks ucena: Prevaranti od prošle nedelje zaradili 50000 dolara od samo 30 žrtava

Sećate li se vesti koju smo objavili prošle nedelje o prevarantima koji pokušavaju da iznude novac od žrtava koje ucenjuju da će, ukoliko ne plat... Dalje

Oprez: Pametni usisivači mogu da vas špijuniraju

Oprez: Pametni usisivači mogu da vas špijuniraju

Ako mašate o pametnom usisivaču, možda vam posle ove priče takav uređaj više neće delovati kao dobra ideja. Istraživači iz kompanije Positive... Dalje

Apple preselio podatke svojih korisnika iz Kine u kineske centre podataka

Apple preselio podatke svojih korisnika iz Kine u kineske centre podataka

Loše vesti za Appleove korisnike u Kini. Appleov partner, kineska kompanija Guizhou-Cloud Big Data (GCBD) preneo je iCloud podatke 130 miliona korisn... Dalje

Samsungovi servisi u Italiji napadnuti malverom, cilj napadača nejasan

Samsungovi servisi u Italiji napadnuti malverom, cilj napadača nejasan

Bezbednosni istraživači otkrili su napade na Samsungove servisne centre u Italiji, slične napadima koji su ranije ove godine viđeni u Rusiji a koj... Dalje

Instagram radi na novoj dvofaktornoj autentifikaciji da bi zaštitio korisnike od hakovanja SIM kartica

Instagram radi na novoj dvofaktornoj autentifikaciji da bi zaštitio korisnike od hakovanja SIM kartica

Instagram radi na dvofaktornoj autentifikaciji, rešenju za potvrdu identiteta korisnika koje ne zahteva telefonski broj korisnika. Instagram je potvr... Dalje