Kaspersky: 70% cyberaanvallen richt zich op Office-kwetsbaarheden

De meeste cyberaanvallen richten zich op kwetsbaarheden in Microsoft Office en verwante componenten. Ruim 70 procent van de aanvallen die Kaspersky het vierde kwartaal van 2018 detecteerde, probeerden een kwetsbaarheid van Microsoft Office te misbruiken.

Dit maakte Kaspersky afgelopen week bekend tijdens de Security Analyst Summit in Singapore. Volgens de securityspecialist bestaat er een volledig misdaadecosysteem rondom Office-bugs, waardoor deze vaker doelwit zijn van malwarecampagnes. Kort nadat een kwetsbaarheid in Office bekend is gemaakt, verschijnt er vaak binnen enkele dagen een exploit op het dark web.

Top 10

Dat Office-kwetsbaarheden populair zijn, bleek ook al uit een recent rapport van Recorded Future, waarin volgende top tien van meest misbruikte kwetsbaarheden werd opgelijst:

  1. CVE-2018-8174 – Microsoft – Internet Explorer
  2. CVE-2018-4878 – Adobe – Flash Player
  3. CVE-2017-11882 – Microsoft – Office
  4. CVE-2017-8750 – Microsoft – Office
  5. CVE-2017-0199 – Microsoft – Office
  6. CVE-2016-0189 – Microsoft – Internet Explorer
  7. CVE-2017-8570 – Microsoft Office
  8. CVE-2018-8373 – Microsoft – Internet Explorer
  9. CVE-2012-0158 – Microsoft Office
  10. CVE-2015-1805 – Google – Android

Verwante componenten

“Er is wel een interessante kanttekening. Geen van de meest verspreide kwetsbaarheden bevindt zich in Microsoft Office zelf, het gaat om kwetsbaarheden in verwante componenten. Schrijvers van malware geven de voorkeur aan eenvoudige, logische bugs”, aldus een woordvoerder van Kaspersky tegen ZDNet.

Zo zijn CVE-2017-11882 en CVE-2018-0802 twee van de meest geëxploiteerde kwetsbaarheden volgens Kasperksy. Deze beveiligingslekken zijn van invloed op de oudere Equation Editor-component van Office. Volgens de securityspecialist zijn deze niet alleen betrouwbaar, maar werken ze ook in elke versie van Word die de afgelopen zeventien jaar is uitgebracht. Bovendien zou het bouwen van een exploit voor beide beveiligingslekken vrij eenvoudig zijn.

Office-bestanden

Daarnaast worden kwetsbaarheden ook geëxploiteerd via Office-bestanden. Zo bevat Windows VBScript-engine bijvoorbeeld de bug CVE-2018-8174. Deze wordt ook gebruikt door de Office-app tijdens het verwerken van Office-documenten. Maar ook CVE-2016-0189 en CVE-2018-8373, beveiligingslekken in de scripting-engine van Internet Explorer, kunnen worden geëxploiteerd via Office-bestanden. Hierbij wordt de scripting engine van IE gebruikt voor het verwerken van webcontent.

Volgens ZDNet kan voor bovenstaande voorbeelden dezelfde conclusie worden getrokken als voor de Office Equation Editor-aanvallen. Ook deze beveiligingslekken zouden gebruik maken van componenten die al jarenlang in Office worden gebruikt. Het simpelweg verwijderen van deze componenten lijkt alleen geen optie, gezien dat de compatibiliteit met Office nadelig zou beïnvloeden.

Gerelateerd: Dit zijn de 10 vaakst misbruikte kwetsbaarheden in cyberaanvallen