Video: Уязвимость нулевого дня - 0day в WinRAR (November 2024)
Microsoft heeft een kritieke zero-day kwetsbaarheid onthuld in hoe oudere versies van Microsoft Windows en Office deze week omgaan met het TIFF-beeldformaat. Hoewel de fout actief in het wild wordt uitgebuit, zei het bedrijf dat een patch niet klaar zal zijn voor de patch dinsdag release van volgende week.
De bug (CVE-2013-3906) stelt aanvallers in staat om op afstand code op de doelcomputer uit te voeren door gebruikers te misleiden om bestanden te openen met speciaal vervaardigde TIFF-afbeeldingen, zei Microsoft. Wanneer de gebruiker het aanvalsbestand opent, krijgt de aanvaller dezelfde rechten en bevoegdheden als die gebruiker. Dit betekent dat als de gebruiker een beheerdersaccount heeft, de aanvaller volledige controle over de machine kan krijgen. Als de gebruiker geen beheerdersrechten heeft, kan de aanvaller slechts beperkte schade aanrichten.
Testlaboratorium AV-TEST heeft ten minste acht DOCX-documenten geïdentificeerd die zijn ingebed in deze kwaadaardige afbeeldingen die momenteel worden gebruikt bij aanvallen.
Software waarin dit probleem optreedt
Het beveiligingslek bestaat in alle versies van Lync Communicator Service, Windows Vista, Windows Server 2008 en sommige versies van Microsoft Office. Alle installaties van Office 2003 en 2007 lopen risico, ongeacht op welk besturingssysteem de suite is geïnstalleerd. Office 2010 wordt beïnvloed, alleen als het is geïnstalleerd op Windows XP of Windows Server 2008, zei Microsoft. Volgens het advies is Office 2007 de enige die momenteel actief wordt aangevallen.
"Tot 37 procent van de zakelijke gebruikers van Microsoft Office is gevoelig voor deze zero-day exploit", zegt Alex Watson, directeur van beveiligingsonderzoek bij Websense.
Deze nieuwste zero-day is een goed voorbeeld van hoe kwetsbaarheden in oudere versies van software organisaties kunnen blootstellen aan serieuze aanvallen. Gebruikers zouden in de eerste plaats niet nog steeds Office 2003, Office 2007, Windows XP en Windows Server 2003 moeten gebruiken omdat ze zo oud zijn. "Als u die software zou verwijderen, zou deze 0-daagse niet bestaan", zegt Tyler Reguly, technisch manager van beveiligingsonderzoek en -ontwikkeling bij Tripwire. Gezien de leeftijd van deze applicaties zouden organisaties en gebruikers nu moeten hebben bijgewerkt.
Aanvallen in het wild
Hoewel er in het wild aanvallen zijn, is het belangrijk om te onthouden dat de meeste aanvallen tot op heden gericht zijn op het Midden-Oosten en Azië. Microsoft zei oorspronkelijk dat er 'gerichte aanvallen waren die proberen misbruik te maken van dit beveiligingslek', en beveiligingsonderzoekers van AlienVault, FireEye en Symantec hebben verschillende aanvalsgroepen geïdentificeerd die het beveiligingslek al gebruiken om hun campagnes te bevorderen.
De groep achter Operation Hangover, een spionage-gerichte campagne die in mei werd geïdentificeerd, lijkt deze bug te exploiteren om zijn activiteiten voor het verzamelen van informatie te bevorderen, zei FireEye in zijn blog. Jaime Blasco, directeur van AlienVault Labs, zei dat de exploit wordt gebruikt om zich te richten op de inlichtingendienst en het leger van Pakistan. Een andere aanvalsgroep, genaamd Arx door FireEye-onderzoekers, gebruikt de exploit om de Citadel banking Trojan te verspreiden.
De oplossing installeren
Hoewel de patch volgende week niet klaar zal zijn, heeft Microsoft een FixIt uitgebracht, een tijdelijke oplossing om het probleem aan te pakken. Als u kwetsbare software hebt, moet u de FixIt onmiddellijk toepassen. De FixIt schakelt uit hoe TIFF-afbeeldingen worden geopend, wat voor sommige gebruikers en bedrijven misschien geen optie is, merkte Tripwire regelmatig op.
Webontwikkelaars, grafisch ontwerpers en marketingprofessionals die met het TIFF-formaat werken, kunnen hun vermogen om hun werk te doen bemoeilijken met deze FixIt, waarschuwde Reguly regelmatig. Beveiligingsprofessionals kunnen moeite hebben om de noodzaak te rechtvaardigen om de FixIt in te zetten in organisaties die veel werken met afbeeldingen van hoge kwaliteit.
"Het plaatst mensen in de moeilijke situatie om een nieuwe kwetsbaarheid te voorkomen of hun werk te doen, " zei Reguly.
Organisaties kunnen ook de beveiligingstoolkit van Microsoft EMET (Enhanced Mitigation Experience Toolkit) installeren, omdat deze voorkomt dat de aanval wordt uitgevoerd, Elia Florio van het Security Response Center van Microsoft; schreef in een blogpost.
Veel antivirus- en beveiligingssuites hebben hun handtekeningen al bijgewerkt om schadelijke bestanden te detecteren die misbruik maken van dit beveiligingslek, dus u moet ook controleren of uw beveiligingssoftware ook is bijgewerkt. Zoals altijd, wees uiterst voorzichtig bij het openen van bestanden waar u niet specifiek om hebt gevraagd, of klik op links als u de bron niet kent.
