De meeste cyberaanvallen richten zich op kwetsbaarheden in Microsoft Office en verwante componenten. Ruim 70 procent van de aanvallen die Kaspersky het vierde kwartaal van 2018 detecteerde, probeerden een kwetsbaarheid van Microsoft Office te misbruiken.
Dit maakte Kaspersky afgelopen week bekend tijdens de Security Analyst Summit in Singapore. Volgens de securityspecialist bestaat er een volledig misdaadecosysteem rondom Office-bugs, waardoor deze vaker doelwit zijn van malwarecampagnes. Kort nadat een kwetsbaarheid in Office bekend is gemaakt, verschijnt er vaak binnen enkele dagen een exploit op het dark web.
Top 10
Dat Office-kwetsbaarheden populair zijn, bleek ook al uit een recent rapport van Recorded Future, waarin volgende top tien van meest misbruikte kwetsbaarheden werd opgelijst:
- CVE-2018-8174 Microsoft Internet Explorer
- CVE-2018-4878 Adobe Flash Player
- CVE-2017-11882 Microsoft Office
- CVE-2017-8750 Microsoft Office
- CVE-2017-0199 Microsoft Office
- CVE-2016-0189 Microsoft Internet Explorer
- CVE-2017-8570 Microsoft Office
- CVE-2018-8373 Microsoft Internet Explorer
- CVE-2012-0158 Microsoft Office
- CVE-2015-1805 Google Android
Verwante componenten
“Er is wel een interessante kanttekening. Geen van de meest verspreide kwetsbaarheden bevindt zich in Microsoft Office zelf, het gaat om kwetsbaarheden in verwante componenten. Schrijvers van malware geven de voorkeur aan eenvoudige, logische bugs”, aldus een woordvoerder van Kaspersky tegen ZDNet.
Zo zijn CVE-2017-11882 en CVE-2018-0802 twee van de meest geëxploiteerde kwetsbaarheden volgens Kasperksy. Deze beveiligingslekken zijn van invloed op de oudere Equation Editor-component van Office. Volgens de securityspecialist zijn deze niet alleen betrouwbaar, maar werken ze ook in elke versie van Word die de afgelopen zeventien jaar is uitgebracht. Bovendien zou het bouwen van een exploit voor beide beveiligingslekken vrij eenvoudig zijn.
Office-bestanden
Daarnaast worden kwetsbaarheden ook geëxploiteerd via Office-bestanden. Zo bevat Windows VBScript-engine bijvoorbeeld de bug CVE-2018-8174. Deze wordt ook gebruikt door de Office-app tijdens het verwerken van Office-documenten. Maar ook CVE-2016-0189 en CVE-2018-8373, beveiligingslekken in de scripting-engine van Internet Explorer, kunnen worden geëxploiteerd via Office-bestanden. Hierbij wordt de scripting engine van IE gebruikt voor het verwerken van webcontent.
Volgens ZDNet kan voor bovenstaande voorbeelden dezelfde conclusie worden getrokken als voor de Office Equation Editor-aanvallen. Ook deze beveiligingslekken zouden gebruik maken van componenten die al jarenlang in Office worden gebruikt. Het simpelweg verwijderen van deze componenten lijkt alleen geen optie, gezien dat de compatibiliteit met Office nadelig zou beïnvloeden.
Gerelateerd: Dit zijn de 10 vaakst misbruikte kwetsbaarheden in cyberaanvallen