Ruski špijuni koriste DDE slabost u MS Officeu koju Microsoft ne želi da ispravi

Vesti, 13.11.2017, 00:30 AM

Ruski špijuni koriste DDE slabost u MS Officeu koju Microsoft ne želi da ispravi

Sajber kriminalci i hakeri koje finansiraju države počeli su da koriste nedavno otkrivenu slabost u Micorosoft Officeu koju Microsoft ne smatra bezbednosnim propustom i za koju kompanija odbija da objavi zakrpu.

Prošlog meseca otkriveno je da funkcija Microsoft Officea nazvana Dynamic Data Exchange (DDE) može biti iskorišćena za pokretanje koda na napadnutom uređaju.

DDE protokol je jedan od nekoliko koje Microsoft koristi da bi dve aplikacije mogle da dele iste podatke. Ovaj protokol koriste brojne aplikacije, među kojima su MS Excel, MS Word, Quattro Pro, za jednokratni prenos podataka i kontinuiranu razmene podataka slanjem ažuriranja.

Ubrzo pošto se saznalo da je moguć ovakav napad, pojavile su se vesti o različitim napadima u kojima se koristi ova tehnika.

Sada, po prvi put, DDE tehniku napada koristi jedna APT (Advanced Persistent Threat) hakerska grupa, poznata po nazivima APT28 i Fancy Bear, za koju se veruje da je finansirana od strane ruske vlade.

Dok su analizirali novu fišing kampanju, istraživači iz kompanije McAfee su otkrili da napadači iz grupe Fancy Bear koriste DDE ranjivost od kraja oktobra.

U napadima se koriste dokumenti koji se odnose na nedavni teroristički napad. Napadači tako pokušavaju da prevare žrtve da kliknu na maliciozne dokumente i tako inficiraju malverom svoje sisteme.

Kako je DDE legitimna Microsoftova funkcija, većina antivirusa ne prikazuje upozorenje niti blokira dokumente sa DDE poljima. Zbog toga, svako ko klikne na maliciozni atačment sa nazivima SabreGuard2017.docx ili IsisAttackInNewYork.docx, nenamerno će pokrenuti maliciozni kod na svom računaru.

Kada se otvori, dokument kontaktira komandno-kontrolni server da bi instalirao malver prve faze nazvan Seduploader. Ovaj malver profiliše potencijalne žrtve tako što povlači osnovne informacije o inficiranom računaru i šalje ih napadačima. Ako je sistem, odnosno žrtva zanimljiva napadačima, oni kasnije instaliraju spywaree X-Agent i Sedreco.

Ovo nije prva kampanja u kojoj se koristi DDE tehnika napada. Ubrzo pošto su objavljeni detalji o DDE napadu, istraživači Cisco Talos tima otkrili su napade na nekoliko organizacija u kojima se koristila ova tehnika za širenje trojanca za daljinski pristup (RAT) bez fajlova DNSMessengera.

Krajem prošlog meseca, otkriveno je da se Locky ransomware i bankarski trojanac TrickBot šire preko Word dokumenata pomoću DDE tehnike.

Ista tehnika je korišćena i u spam kampanji u kojoj se širio malver Hancitor (Chanitor, Tordal).

S obzirom da Microsoft ne planira da zaštiti korisnike od ovakvih napada, moraćete sami da se zaštite onemogućavanjem DDE funkcije.

Ako koristite MS Word 2016 ili MS Excel 2016, idite u Options →Advanced, i zatim isključite "Update automatic links at open".

U MS Excel, uključite opciju "Ignore other applications that use Dynamic Data Exchange (DDE)".

Ipak, najbolji način da se zaštitite od ovakvih napada je da budete oprezni sa dokumentima koji vam emailom stižu od nepoznatih, ili neočekivano, i da ne klikćete na linkove u takvim dokumentima ukoliko niste proverili izvor.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Microsoft, Apple i Google pozvani da se odupru ruskoj zabrani Telegrama

Microsoft, Apple i Google pozvani da se odupru ruskoj zabrani Telegrama

Rusija je u ponedeljak zabranila Telegram nakon što je kompanija odbila da preda ključeve za šifrovanje i tako omogući vlastima pristup razgovorim... Dalje

Microsoft pokreće dodatak za Chrome Windows Defender Browser Protection

Microsoft pokreće dodatak za Chrome Windows Defender Browser Protection

Dok Microsoft čini sve da bi ubedio korsnike da se drže Edgea kao podrazumevanog browsera u Windowsu 10, na većinu ljudi ovakva nastojanja kompani... Dalje

Intel najavio da će antivirusi moći da koriste ugrađeni GPU za skeniranje malvera

Intel najavio da će antivirusi moći da koriste ugrađeni GPU za skeniranje malvera

Intel je ove nedelje najavio dve nove tehnologije - tehnologiju za detekciju pretnji Threat Detection Technology (TDT) i Intel Security Essentials - k... Dalje

AV-Comparatives: Kaspersky, Avast, AVG, Bitdefender i Avira najbolji na testovima

AV-Comparatives: Kaspersky, Avast, AVG, Bitdefender i Avira najbolji na testovima

AV-Comparatives je sproveo novu seriju testova za antivirusna rešenja za Windows 10 Fall Creators Update, a rezultati su sledeći: Kaspersky, Avast, ... Dalje

11 ljudi osuđeno zbog trgovine narkoticima zahvaljujući otisku prsta sa fotografije sa WhatsAppa

11 ljudi osuđeno zbog trgovine narkoticima zahvaljujući otisku prsta sa fotografije sa WhatsAppa

Policija Južnog Velsa uspela je da privede pravdi 11 dilera droge na osnovu otisaka prstiju prikupljenih sa fotografije sa WhatsAppa. Policija je zap... Dalje