Russisk Sandworm udnytter 0-dags sårbarhed i Powerpoint

Trods navnet er Sandworm ikke en ægte orm, men den udnytter et sikkerhedshul i Powerpoint, som Microsoft først har lukket i denne uge.

Den er opkaldt efter de gigantiske, ormelignende væsner på planeten Arrakis i science fiction-universet Klit (Dune), men til gengæld er den en større trussel mod kontorfolk end mod dem, der vil have fingre i krydderiet.

Malwaren 'Sandworm' udnytter nemlig et sikkerhedshul i Powerpoint, som Microsoft først har lukket i denne uge med oktober måneds sikkerhedsopdateringer til Office-pakken.

Reelt er der ikke tale om en ægte orm trods navnet, påpeger Paul Ducklin fra sikkerhedsfirmaet Sophos i et blognindlæg.

Sandworm kan nemlig ikke sprede sig selv til andre pc'er, og det er ét af de væsentlige kendetegn ved den type malware, som normalt får betegnelsen 'orm' i antiviruskredse.

I stedet vil Sandworm ankomme i indbakken som en vedhæftet Powerpoint-præsentation. Når man åbner præsentationen, vil Sandworm udnytte et sikkerhedshul, som gør det muligt at tilgå en fil på en ekstern server og tilføje et punkt til registreringsdatabasen i Windows.

Det betyder, at Sandworm henter to filer fra en ekstern server og installerer dem på pc'en. Den ene fil bliver omdøbt til en exe-fil, som så bliver eksekveret, næste gang der bliver logget ind på pc'en.

Angiveligt har Sandworm været anvendt af russiske bagmænd til flere målrettede angreb forud for frigivelsen af sikkerhedsopdateringen til Powerpoint.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Joe Sørensen

Fra FAQ afsnittet i Microsoft Security Bulletin MS14-060

How could an attacker exploit the vulnerability?
User interaction is required to exploit this vulnerability. For an attack to be successful by sending an email message to a locally logged-on user, the user must open an attachment that contains a specially crafted OLE object. Many different types of attached documents can contain the affected OLE objects. All Office file types as well as many other third-party file types could contain a malicious OLE object.

  • 0
  • 0
Joe Sørensen

God pointe. Det betyder vel også, at også Openoffice er sårbar?


Kun på Windows, da fejlen ligger i et Windows API.

Jeg ved faktisk ikke om Open/LibreOffice bruger Windows OLE API, eller om de bruger noget de slev har kodet ligesom de gør på fx Linux. Du kan teste det ved at indsætte et OLE objekt i OpenOffice tekstbehandling fra en filtype som OpenOffice ikke selv supportere. Hvis den bruger Windows OLE APIet så vil du kunne arbejde med filen i OpenOffice.

Hvis du ikke kan redigere det, så er OpenOffice heller ikke sårbar.

I begge tilfælde så se at få installeret opdateringen igennem Windows Update.

  • 1
  • 0
Log ind eller Opret konto for at kommentere