3D Office Exploiter laat hackers kwaadaardige code uitvoeren
16 juli 2020 -
Onderzoekers van Mimecast waarschuwen voor een nieuwe kwetsbaarheid in Microsoft Office voor Windows en Mac. Het gaat om een zeer ernstige kwetsbaarheid waarmee aanvallers op afstand code kunnen uitvoeren. Na een melding van Mimecast heeft Microsoft hiervoor een patch vrijgegeven.
De onderzoekers gaven de kwetsbaarheid de naam ‘3D Office Exploiter’. Zij ontdekten dat ze het gedrag van 3D-grafieken konden manipuleren. Dat duidde op een programmeerfout in de 3D-library. Deze fout biedt hackers een betrouwbare methode om applicaties te laten crashen die gebruikmaken van de library, en daarna kwaadaardige code uit te voeren.
Fuzzing
Om te achterhalen welke invoerdata een crash veroorzaakten, maakten de onderzoekers gebruik van ‘fuzzing’. Dit is een techniek om een applicatie automatisch te bestoken met miljoenen versies van willekeurige of ongeldige data. Het bleek te gaan om een bekende dataset en -volgorde. Na de crash en net voordat de applicatie sloot, was het mogelijk om code uit te voeren.
Cybercriminelen kunnen deze kwetsbaarheid op verschillende manieren uitbuiten. Bijvoorbeeld door het doelwit te verleiden om een Office-bestand te openen via een phishingmail of URL. Vervolgens crasht de applicatie en kan de schadelijke code worden uitgevoerd. Op die manier kan de aanvaller het systeem bijvoorbeeld besmetten met ransomware of andere malware.
Microsoft heeft op dinsdag 16 juni een patch beschikbaar gesteld die organisaties beschermt tegen 3D Office Exploiter (CVE-2020-1321). Op het moment van schrijven waren de securityupdates voor Microsoft Office 2016 for Mac en Microsoft Office 2019 for Mac nog niet beschikbaar.
Noodzaak strikt patchbeleid
"3D Office Exploiter is een ernstige kwetsbaarheid die zich diep in de code bevindt," zegt Matthew Gardiner, Principal Security Strategist bij Mimecast. "Onbekende kwetsbaarheden en ongepatchte systemen vormen een serieus beveiligingsrisico. Onze onderzoekers zijn continu op zoek naar dit soort kwetsbaarheden, zodat we ze bij Microsoft kunnen melden voordat cybercriminelen ze ontdekken en er misbruik van maken. Kwetsbaarheden zoals 3D Office Exploiter illustreren de noodzaak van een strikt patchbeleid voor Microsoft-software. We adviseren de miljoenen Office-gebruikers wereldwijd om te controleren of hun software geüpdatet is."
