DDE-aanvallen verspreiden ransomware
Nauwelijks hebben we allemaal onze WIFI-apparatuur van nieuwe patches voorzien, of we worden opgeschrikt door een nieuwe dreiging: de DDE-attack. Nou ja, nieuw… Nieuw is de aandacht en actieve exploitatie van een functionaliteit die al een hele tijd in Microsoft Office beschikbaar is.
Net als macro’s dat zijn, is DDE (Dynamic Data Exchange) een functionaliteit van Office. DDE maakt het mogelijk om gegevens uit het ene Office-bestand te gebruiken in een ander. Bijvoorbeeld een rapportage in Word, waarin velden zijn ingevoegd die dynamisch gevuld worden met informatie uit een Excel sheet. Of een Excel-sheet dat dynamisch gegevens uit een andere applicatie of van het internet ophaalt. Al in augustus ontdekten onderzoekers van SensePost dat hiermee ook kwaadaardige code kan worden uitgevoerd. Microsoft werd gewaarschuwd, waar men het standpunt verdedigde dat DDE een ‘feature’ is en dat er geen actie zou worden ondernomen.
Intussen hebben we hier wel een open deur waardoor malware verspreid wordt. Onder andere de Locky ransomware, aldus Brad Duncan van SANS ISC. Hackers gebruiken het Necurs Botnet om deze crypto-locker en de TrickBot banking trojan, meestal via e-mail, te verspreiden. Open je de bijlage (in dit geval een Word-document) volgt de vraag of je de velden in het document wilt bijwerken. Daarna probeert de malware een opdrachtscript uit te voeren. Als dat lukt, ben je de klos.
Kun je je hiertegen beschermen? Ja en nee. De functionaliteit wordt nog wel gebruikt en je sluit ook niet je winkel om winkeldieven tegen te houden. De beste technische optie is, volgens Duncan, om het automatisch bijwerken van koppelingen uit te schakelen. In het Opties-menu van elke Office-applicatie ga je naar ‘Geavanceerd’, ‘Algemeen’ en je zorgt dat de checkbox bij ‘Automatische koppelingen bijwerken bij openen’ leeg is.
Maar dat is niet voldoende. Als je zonder na te denken altijd op ‘OK’ klikt, kan niets je helpen. Voor meer bewust levende mensen, is het risico een stuk minder groot. Ken je de afzender? Verwacht je dit soort e-mails van deze afzender? Zo niet, gooi dan de e-mail ongelezen weg. Toch kijken? Niet doen! En blijf dan in elk geval van attachments en links af (je deed het lekker toch).
Wees waakzaam, want alle virusscanners, firewalls en proxyservers samen kunnen je niet beschermen tegen je eigen handelen.
Bronnen:
https://threatpost.com/necurs-based-dde-attacks-now-spreading-locky-ransomware/128554/
https://malwaretips.com/threads/locky-uses-dde-attack-for-distribution.76379/
https://msdn.microsoft.com/en-us/library/windows/desktop/ms648711(v=vs.85).aspx
https://isc.sans.edu/forums/diary/Necurs+Botnet+malspam+pushes+Locky+using+DDE+attack/22946/