Hackere snyder antivirusprogrammer på stribe: Spreder malware med Word-dokumenter uden makroer

Annonceindlæg tema

Identity & Access Management er blevet rygraden i digital sikkerhed

Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.

Du kan ikke længere sikre dig mod malware-inficerede Word-dokumenter ved at slå makroer fra.

Opfindsomme hackere er nemlig begyndt at udnytte en funktion i Microsofts Office-produkter til at sprede malware uden makroer, og dermed bemærkes angrebene ikke af brugerens sikkerhedssoftware.

Det drejer sig om funktionen Dynamic Data Exchange (DDE), hvis formål er at lade flere applikationer udveksle data.

Fordi der ikke er makroer i spil, præsenterer Office heller ikke brugeren for nogen sikkerhedsadvarsel, og i stedet bliver man mødt med et skærmbillede som dette, hvis man klikker på det malware-inficerede Word-dokument.

Billede: Sensepost

Når en bruger klikker “ja” til ovenstående præsenteres dette.

Billede: Sensepost

Når der er klikket ja på andet skærmbillede, kan der køres kode i Microsoft Word uden brug af makroer - og for eksempel installeres og afvikles malware.

Gruppen Fancy Bear, der blandt andet menes at have kompromitteret det danske forsvar, har for nylig brugt metoden til at sprede skadelig kode ved at sende inficerede word-filer til sine ofre.

Sikkerhedssoftware opdager ingenting

Sikkerhedsfirmaet Sensepost har gennemgået angrebet trin for trin og har blandt andet undersøgt, hvordan sikkerhedsprodukter reagerer, når man misbruger DDE-funktionen.

Og i det amerikanske firmas forsøg, reagerer de slet ikke.

Billede: Sensepost

Sensepost har anmeldt problemet til Microsoft, men der er ikke umiddelbart nogen patch på vej. Da Dynamic Data Exchange er en funktion og ikke en fejl, mener Microsoft ikke, at der er noget at reparere.

Men efter rapporter om at Fancy Bear udnytter DDE, har Microsoft dog udsendt en vejledning til, hvordan man beskytter sig bedst muligt ved at justere på indstillingerne i Windows.

Der er dog tale om dybtliggende indstillinger, og man kan blive nødt til at geninstallere styresystemet, hvis man gør noget forkert.

Det letteste er derfor at forholde sig skeptisk, hvis man bliver mødt med et skærmbillede, man ikke har set før, eller bliver bedt om at køre en applikation, der ikke giver mening, når man forsøger at åbne et dokument.

Du kan finde Microsofts vejledning her.

Læs også: Ny ondsindet Word-fil på spil - kan ramme både Windows og Mac med malware