Een kwetsbaarheid in Windows wordt actief misbruikt om onopgemerkt malware te verspreiden via Microsoft PowerPoint.


Hoe heeft technologie een impact op je business?
Ontvang elke week het zakelijk IT-nieuws rechtstreeks in je inbox!



 
De kwetsbaarheid bevindt zich in de Windows Object Linking and Embedding (OLE)-interface. Die verzorgt de communicatie tussen verschillende applicaties binnen Windows en maakt het bijvoorbeeld mogelijk om in Word andere bestandstypen, zoals een JPEG-afbeelding, in te voegen.
 
Het lek wordt doorgaans gebruikt om geïnfecteerde Rich Text File (RTF)-documenten te verspreiden. Securityspecialisten van Trend Micro troffen de exploit nu voor het eerst ook aan in een PowerPoint-presentatie.

Phishing

De besmetting begint zoals zo vaak bij een phishingmail, in dit geval van een producent van kabels. Het adres van de afzender wordt vermomd zodat het lijkt alsof het bericht, dat lijkt te gaan over een bestelling, van een zakenpartner afkomstig is. In de bijlage zit zogezegd de bestelinformatie.
 
In realiteit is de bijlage een PowerPoint-presentatie die alleen maar de tekst ‘CVE-2017-8570’ toont wanneer hij wordt geopend. De tekst komt weliswaar overeen met de naamgeving die wordt gebruikt voor kwetsbaarheden in Microsofts producten, maar verwijst niet naar het lek dat wordt misbruikt in de aanval.
 
Het lek in kwestie is ‘CVE-2017-0199’. Bij het openen van de presentatie wordt een exploit uitgevoerd die hier misbruik van maakt en op de achtergrond een document met XML en Javascript downloadt. Dat document start op zijn beurt PowerShell op om het bestand ‘RATMAN.EXE’ uit te voeren, een trojan die het systeem in contact brengt met een command-and-control-server.

Volledige controle

Eenmaal het trojan zich in een systeem heeft genesteld kan de aanvaller onder meer toetsaanslagen en schermactiviteit registreren, meekijken en -luisteren via webcam en microfoon, en nog andere malware vanop afstand installeren. De aanvaller krijgt nagenoeg volledige controle over het systeem, zonder dat de eigenaar er iets van merkt.
 
De onderzoekers merken nog op dat de sample die ze hebben onderzocht gebruik maakt van technieken om reverse engineering te bemoeilijken. Dat duidt er op dat de makers geen amateurs zijn. Bovendien richten de meeste detectiemethoden voor deze kwetsbaarheid zich op de RTF-aanval, waardoor een aanval via PowerPoint nagenoeg ongemerkt voorbij de antivirus kan raken.
 
Gelukkig is er ook goed nieuws: Microsoft rolde in april al een patch uit voor ‘CVE-2017-0199’. Het volstaat dus om je systemen te updaten met de laatste patches om beschermd te zijn tegen deze aanval.