Ruski špijuni koriste DDE slabost u MS Officeu koju Microsoft ne želi da ispravi

Vesti, 13.11.2017, 00:30 AM

Ruski špijuni koriste DDE slabost u MS Officeu koju Microsoft ne želi da ispravi

Sajber kriminalci i hakeri koje finansiraju države počeli su da koriste nedavno otkrivenu slabost u Micorosoft Officeu koju Microsoft ne smatra bezbednosnim propustom i za koju kompanija odbija da objavi zakrpu.

Prošlog meseca otkriveno je da funkcija Microsoft Officea nazvana Dynamic Data Exchange (DDE) može biti iskorišćena za pokretanje koda na napadnutom uređaju.

DDE protokol je jedan od nekoliko koje Microsoft koristi da bi dve aplikacije mogle da dele iste podatke. Ovaj protokol koriste brojne aplikacije, među kojima su MS Excel, MS Word, Quattro Pro, za jednokratni prenos podataka i kontinuiranu razmene podataka slanjem ažuriranja.

Ubrzo pošto se saznalo da je moguć ovakav napad, pojavile su se vesti o različitim napadima u kojima se koristi ova tehnika.

Sada, po prvi put, DDE tehniku napada koristi jedna APT (Advanced Persistent Threat) hakerska grupa, poznata po nazivima APT28 i Fancy Bear, za koju se veruje da je finansirana od strane ruske vlade.

Dok su analizirali novu fišing kampanju, istraživači iz kompanije McAfee su otkrili da napadači iz grupe Fancy Bear koriste DDE ranjivost od kraja oktobra.

U napadima se koriste dokumenti koji se odnose na nedavni teroristički napad. Napadači tako pokušavaju da prevare žrtve da kliknu na maliciozne dokumente i tako inficiraju malverom svoje sisteme.

Kako je DDE legitimna Microsoftova funkcija, većina antivirusa ne prikazuje upozorenje niti blokira dokumente sa DDE poljima. Zbog toga, svako ko klikne na maliciozni atačment sa nazivima SabreGuard2017.docx ili IsisAttackInNewYork.docx, nenamerno će pokrenuti maliciozni kod na svom računaru.

Kada se otvori, dokument kontaktira komandno-kontrolni server da bi instalirao malver prve faze nazvan Seduploader. Ovaj malver profiliše potencijalne žrtve tako što povlači osnovne informacije o inficiranom računaru i šalje ih napadačima. Ako je sistem, odnosno žrtva zanimljiva napadačima, oni kasnije instaliraju spywaree X-Agent i Sedreco.

Ovo nije prva kampanja u kojoj se koristi DDE tehnika napada. Ubrzo pošto su objavljeni detalji o DDE napadu, istraživači Cisco Talos tima otkrili su napade na nekoliko organizacija u kojima se koristila ova tehnika za širenje trojanca za daljinski pristup (RAT) bez fajlova DNSMessengera.

Krajem prošlog meseca, otkriveno je da se Locky ransomware i bankarski trojanac TrickBot šire preko Word dokumenata pomoću DDE tehnike.

Ista tehnika je korišćena i u spam kampanji u kojoj se širio malver Hancitor (Chanitor, Tordal).

S obzirom da Microsoft ne planira da zaštiti korisnike od ovakvih napada, moraćete sami da se zaštite onemogućavanjem DDE funkcije.

Ako koristite MS Word 2016 ili MS Excel 2016, idite u Options →Advanced, i zatim isključite "Update automatic links at open".

U MS Excel, uključite opciju "Ignore other applications that use Dynamic Data Exchange (DDE)".

Ipak, najbolji način da se zaštitite od ovakvih napada je da budete oprezni sa dokumentima koji vam emailom stižu od nepoznatih, ili neočekivano, i da ne klikćete na linkove u takvim dokumentima ukoliko niste proverili izvor.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Američka bolnica zbog infekcije ransomwareom platila otkup od 55000 dolara iako je imala rezervne kopije

Američka bolnica zbog infekcije ransomwareom platila otkup od 55000 dolara iako je imala rezervne kopije

Regionalna bolnica Hancock Health u Grinfildu, u američkoj državi Indijani, platila je 55000 dolara da bi se otaraslila ransomwarea koji je inficira... Dalje

Fišeri napadaju korisnike Netflixa, traže informacije i sliku sa ličnom kartom

Fišeri napadaju korisnike Netflixa, traže informacije i sliku sa ličnom kartom

Da li biste Netflixu poslali selfi na kome držite svoju ličnu kartu kako biste vratili svoj nalog? Verovatno biste odgovorili sa ne, ali svako od na... Dalje

OnePlus istražuje tvrdnje o zloupotrebi kreditnih kartica koje su kupci koristili na sajtu kompanije

OnePlus istražuje tvrdnje o zloupotrebi kreditnih kartica koje su kupci koristili na sajtu kompanije

Kineski proizvođač Android pametnih telefona OnePlus istražuje tvrdnje da su brojevi kreditnih kartica njegovih kupaca ukradeni posle korišćenja ... Dalje

Propust u VR pornografskoj aplikaciji otkrio imena korisnika

Propust u VR pornografskoj aplikaciji otkrio imena korisnika

Britanska firma Digital Interruption otkrila je propust u VR (virtuelna realnost) pornografskoj aplikaciji SinVR zbog koga je 20000 korisničkih imena... Dalje

OneDrive for Business dobija opciju Files Restore

OneDrive for Business dobija opciju Files Restore

Microsoft će dodati novu funkciju svom OneDrive for Business koja će omogućiti korisnicima kreiranje tačaka vraćanja i vraćanje na prethodne ... Dalje