Russisk Sandworm udnytter 0-dags sårbarhed i Powerpoint

15. oktober 2014 kl. 13:193
Trods navnet er Sandworm ikke en ægte orm, men den udnytter et sikkerhedshul i Powerpoint, som Microsoft først har lukket i denne uge.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den er opkaldt efter de gigantiske, ormelignende væsner på planeten Arrakis i science fiction-universet Klit (Dune), men til gengæld er den en større trussel mod kontorfolk end mod dem, der vil have fingre i krydderiet.

Malwaren 'Sandworm' udnytter nemlig et sikkerhedshul i Powerpoint, som Microsoft først har lukket i denne uge med oktober måneds sikkerhedsopdateringer til Office-pakken.

Reelt er der ikke tale om en ægte orm trods navnet, påpeger Paul Ducklin fra sikkerhedsfirmaet Sophos i et blognindlæg.

Sandworm kan nemlig ikke sprede sig selv til andre pc'er, og det er ét af de væsentlige kendetegn ved den type malware, som normalt får betegnelsen 'orm' i antiviruskredse.

Artiklen fortsætter efter annoncen

I stedet vil Sandworm ankomme i indbakken som en vedhæftet Powerpoint-præsentation. Når man åbner præsentationen, vil Sandworm udnytte et sikkerhedshul, som gør det muligt at tilgå en fil på en ekstern server og tilføje et punkt til registreringsdatabasen i Windows.

Det betyder, at Sandworm henter to filer fra en ekstern server og installerer dem på pc'en. Den ene fil bliver omdøbt til en exe-fil, som så bliver eksekveret, næste gang der bliver logget ind på pc'en.

Angiveligt har Sandworm været anvendt af russiske bagmænd til flere målrettede angreb forud for frigivelsen af sikkerhedsopdateringen til Powerpoint.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
15. oktober 2014 kl. 14:51

Fra FAQ afsnittet i Microsoft Security Bulletin MS14-060

How could an attacker exploit the vulnerability?
User interaction is required to exploit this vulnerability. For an attack to be successful by sending an email message to a locally logged-on user, the user must open an attachment that contains a specially crafted OLE object. Many different types of attached documents can contain the affected OLE objects. All Office file types as well as many other third-party file types could contain a malicious OLE object.

2
15. oktober 2014 kl. 22:42

God pointe. Det betyder vel også, at også Openoffice er sårbar?

3
15. oktober 2014 kl. 23:12

God pointe. Det betyder vel også, at også Openoffice er sårbar?

Kun på Windows, da fejlen ligger i et Windows API.

Jeg ved faktisk ikke om Open/LibreOffice bruger Windows OLE API, eller om de bruger noget de slev har kodet ligesom de gør på fx Linux. Du kan teste det ved at indsætte et OLE objekt i OpenOffice tekstbehandling fra en filtype som OpenOffice ikke selv supportere. Hvis den bruger Windows OLE APIet så vil du kunne arbejde med filen i OpenOffice.

Hvis du ikke kan redigere det, så er OpenOffice heller ikke sårbar.

I begge tilfælde så se at få installeret opdateringen igennem Windows Update.