 |
Muut verkkotunnukset myös meidän kautta
Näistä aineksista syntyy toimivaa IoT:tä
Varo huijareita verkossa -kampanja varoittaa nettimaailman saalistajista
10 11 2017
Microsoft DDE mekanismia hyödynnetään haittaohjelmakampanjoissa
tietoturva, haittaohjelma, bottiverkkoKäyttäjät ja organisaatiot alkavat olla hyvin tietoisia makrojen vaaroista joten hyökkääjät etsivät muita tapoja suorittaa haitallista koodia uhrien tietokoneissa. Julkisuudessa on raportoitu Microsoftin DDE (Dynamic Data Exchange) -mekanismin käytöstä useammassa eri hyökkäyskampanjassa, esim. eri haittaohjelmakampanjoissa. Microsoft on päivittänyt ohjeitaan DDE sisältöä sisältävien viestin turvallista aukaisemista varten.
Mikä DDE mekanismi on ja miten sitä väärinkäytetään?
Windows tarjoaa useita eri mekanismeja sovellusten tiedonvaihdolle järjestelmissään. Yksi näistä mekanismeista on DDE (Dynamic Data Exchange).
DDE-mekanismia käytetään viestien ja tiedon välittämiseen sovellusten välillä. Microsoftin mukaan kyse on toiminnallisuudesta eikä haavoittuvuudesta, joten toimintoja poistavia päivityksiä ei ole tiedossa. DDE-toimintoa hyväksikäyttämällä on mahdollista suorittaa makroja tai komentoja Microsoftin sovelluksissa. Käyttäjän on kuitenkin hyväksyttävä sovelluksen antamat varoitukset jotta mahdollinen hyökkäysyritys onnistuu.
Miten DDE väärinkäytön riskiä voi pienentää?
- DDE hyväksikäyttöyritys tulee sähköpostitse ja on helposti torjuttavissa. Ole tarkkana mikäli et ole varma sähköpostin lähettäjästä ja tarkoitusperästä. Mikäli vastaanotat sähköpostin joka pyytää lupaa päivittää dokumentin tietoja tai komentoja, älä hyväksy niitä.
- Estä DDE ominaisuuden käyttö käyttöjärjestelmästä (Linkki ohjeisiin artikkelin lopussa).
Muita rajoituskeinoja:
- Microsoft Outlook: säädä html-muotoisten viestien näyttäminen vain teksti-muodossa.
- Microsoft Word: hyväksikäyttöä voidaan rajoittaa poistamalla ominaisuus "Päivitä automaattiset linkit avattaessa" toiminnasta. Tämä asetus löytyy Wordista Tiedosto ->Asetukset -> Lisäasetukset -> Yleiset ja poista ruksi kohdasta "Päivitä automaattiset linkit avattaessa". Haitallisia komentoja voidaan yrittää suorittaa myös Microsoft Outlookin sähköposteissa ja kalenterissa. Haavoittuvuuden hyväksikäyttäminen edellyttää, että vastaanottajalle on sallittu viestien sisällön näyttäminen html-muodossa.
Käyttäjiä ja organisaatioita kehotetaan harkitsemaan sähköpostiviestien sallimista vain teksti-muodossa.
Lisätietoja asiasta:
- Microsoftin virallinen ohje avata DDE sisältöä sisältävä viesti turvallisesti
- Sophoksen julkaisu, Office DDE attack works in Outlook too – here’s what to do
- Panda Securityn raportti:
- SANS ISC artikkeli Necurs Botnet malspam pushes Locky using DDE attack
- Tivin uutinen Wordin hyväksikäytöstä
Päivityshistoria
- 09.11.2017 klo 14:33Julkaistu
Tietoturvatiedotteet
- SolarWinds Orion Platformin takaovi mahdollisti vakoilun ja tietomurtoja
- Kalastelusivujen anatomiaa – Box-tiedostonjakopalvelua jäljittelevä kampanja
- Emotet-haittaohjelmaa levitetään aktiivisesti Suomessa
E-Karjalan ICT-Palvelut.net Oy
Markku Järvinen 050 305 9931
markku.jarvinen(AT)ict-palvelut.net
markku.jarvinen(AT)ict-palvelut.net
Käytämme evästeitä. Lisätiedot. Tarkempi selvitys Traficomin jutusta tai täältä.