U toku su napadi u kojima se koristi DDE funkcija MS Officea, Microsoft ne planira zakrpu

Vesti, 20.10.2017, 14:00 PM

U toku su napadi u kojima se koristi DDE funkcija MS Officea, Microsoft ne planira zakrpu

Istraživači Cisco Talos tima upozorili su na napade u kojima se koristi nedavno otkivena tehnika koja koristi funkciju Microsoft Officea DDE (Dynamic Data Exchange) za pokretanje malicioznog koda na napadnutom uređaju.

DDE je jedan od nekoliko protokola koje Microsoft koristi da bi omogućio da dva pokrenuta programa dele iste podatke. Protokol koriste brojni programi, uključujući MS Excel, MS Word, Quattro Pro i Visual Basic za transfer podataka i za kontinuiranu razmenu podataka međusobnim slanjem izmena.

U napadu u kome se koristi DDE, žrtvama se ne prikazuje upozorenje, osim što se pitaju da li žele da pokrenu program naveden u komandi, mada i to može biti uklonjeno intervencijom napadača.

Ubrzo pošto je obelodanjena ova tehnika napada, stiglo je upozorenje istraživača Cisco Talos tima koji kažu da je napadnuto nekoliko organizacija i da je u napadu korišćen trojanac RAT DNSMessenger.

Sajber kriminalci sada koriste Necurs bot mrežu koja trenutno ima više od 6 miliona inficiranih računara širom sveta, za slanje spam emailova koji sadrže ransomware Locky i bankarskog trojanca TrickBot koji inficiraju računare pomoću tehnike DDE napada.

Ransomware Locky se ranije oslanjao na makroe i Office dokumente, ali sa novom verzijom Necursa, za infekciju se koristi DDE exploit.

Osim ove kampanje širenja malvera pomoću DDE napada, otkrivena je još jedna u kojoj se koristi DDE exploit za distribuciju malvera Hancitor (Chanitor, Tordal). Hancitor je downloader koji instalira malvere kao što su bankarski trojanci, malvere koji kradu podatke i ransomware. Hancitor se ranije oslanjao na MS Office dokumente sa omogućenim makroima, i na fišing emailove.

S obzirom da je DDE legitimna Microsoftova funkcija, većina antivirusa ne upozorava i ne blokira MS Office dokumente sa DDE poljima. Osim toga, ni Microsoft ne planira zakrpu jer ovo ne smatra bezbednosnim propustom.

Da bi se zaštitili od ovakvih napada, treba da onemogućite opciju automatskog ažuriranja linkova prilikom otvaranja u MS Office programima. (Open Word →Select File →Options → Advanced, i da zatim, skrolujete na dole do General i zatim da isključite opciju "Update Automatic links at Open").

Ipak, najbolji način za zaštitu je zdrav razum. Ne otvarajte dokumente u emailovima koje niste očekivali i ne otvarajte linkove u dokumentima ako niste proverili izvor.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kaspersky Lab o incidentu sa detekcijom malvera američke NSA

Kaspersky Lab o incidentu sa detekcijom malvera američke NSA

Ruski proizvođač antivirusa kompanija Kaspersky Lab suočio se sa optužbama amaeričke vlade da je namerno izvlačila poverljive fajlove sa računa... Dalje

Ekstenzija za Chrome prikuplja informacije sa Facebook i LinkedIn naloga korisnika

Ekstenzija za Chrome prikuplja informacije sa Facebook i LinkedIn naloga korisnika

Nova ekstenzija za Browse-Secure u Chrome Web prodavnici nudi korisnicima bezbedno surfovanje. Ono što iz opisa ekstenzije nećete saznati je da ekst... Dalje

17 godina star bag u MS Officeu omogućava instaliranje malvera bez interakcije korisnika

17 godina star bag u MS Officeu omogućava instaliranje malvera bez interakcije korisnika

Microsoft je juče objavio zakrpu za bezbednosni propust u MS Officeu CVE-2017-11882 koji može biti iskorišćen za pokretanje malicioznog koda bez i... Dalje

Ruski špijuni koriste DDE slabost u MS Officeu koju Microsoft ne želi da ispravi

Ruski špijuni koriste DDE slabost u MS Officeu koju Microsoft ne želi da ispravi

Sajber kriminalci i hakeri koje finansiraju države počeli su da koriste nedavno otkrivenu slabost u Micorosoft Officeu koju Microsoft ne smatra bezb... Dalje

Wikileaks počeo sa objavljivanjem izvornog koda špijunskih alata CIA

Wikileaks počeo sa objavljivanjem izvornog koda špijunskih alata CIA

Wikileaks je objavio izvorni kod alata koji navodno pripada američkoj Centralnoj obaveštajnoj agenciji (CIA) Hive, koji omogućava napadačima da ko... Dalje