[English]Und schon sind wir beim vierten Türchen im Security-Adventskalender meines Blogs und ich schiebe mal ein weiteres Sicherheitsthema hinter dieses Türchen. Der Sicherheitsanbieter Proof Point hat 2021 drei APT-Akteure aus Indien, Russland und China dabei beobachtet, wie sie eine neuartige RTF-Template-Injection-Technik für Phishing-Anhänge einsetzen, um bösartige Inhalte von einer entfernten URL abrufen.
Anzeige
Sicherheitsforscher von Proofpoint haben 2021 beobachtet, dass APT-Bedrohungsakteure im zweiten und dritten Quartal 2021 eine neuartige und leicht zu implementierende Technik für Phishing-Anhänge eingesetzt haben. Diese, als RTF-Template Injection bezeichnete, Technik nutzt die legitime RTF-Vorlagen für bösartige Angriffe aus. Sie ermöglicht den Abruf einer URL-Ressource anstelle einer Dateiressource über die Steuerwortfunktion einer RTF-Vorlage.
Laden bösartiger Inhalte über die RTF-Vorlagedatei, Quelle: Proof Point
Auf diese Weise kann ein Bedrohungsakteur ein legitimes Dateiziel durch eine URL ersetzen, von der eine Remote-Nutzlast abgerufen werden kann. Im Blog-Beitrag Injection is the New Black: Novel RTF Template Inject Technique Poised for Widespread Adoption Beyond APT Actors beschreibt Proof Point seine Beobachtungen.
RTF Template Injection
RTF-Template Injection ist eine einfache Technik, bei der eine RTF-Datei so manipuliert werden kann, dass beim Öffnen Inhalte von einer externen URL abgerufen werden können. Durch Ändern der Dokumentformatierungseigenschaften einer RTF-Datei, insbesondere des Dokumentformatierungs-Steuerworts für die "\*\template"-Struktur, können Akteure eine RTF-Datei als Waffe einsetzen, um Remote-Inhalte abzurufen, indem sie eine URL-Ressource statt eines zugänglichen Dateiressourcen-Ziels angeben. Nachfolgender Dump zeigt eine solche Injektion einer URL in einer RT-Datei.
Anzeige
Manipulierte RTF-Template-Datei, Quelle: Proof Point
Die für diese Veröffentlichung analysierten RTF-Vorlagendateien mit injizierten externen URLs haben derzeit eine niedrigere Erkennungsrate durch Antivirenprogramme – zumindest im Vergleich zur bekannten Office-basierten Vorlageninjektionstechnik. Proofpoint hat verschiedene Phishing-Kampagnen identifiziert, bei denen diese Technik zum Einsatz kommt und die verschiedenen APT-Bedrohungsakteuren zugeschrieben werden. Während diese Technik unter APT-Akteuren in verschiedenen Ländern die Runde zu machen scheint, vermutet Proofpoint aufgrund des jüngsten Anstiegs ihrer Nutzung und der Trivialität ihrer Implementierung, dass sie bald von Cyberkriminellen übernommen werden könnte. Details lassen sich dem verlinkten Proofpoint-Artikel entnehmen.
Artikel des Security-Adventskalenders
1. Microsoft Defender Version 1.353.1874.0 meldet fälschlich Trickbot/Emotet
2. Windows 10/11: Falle beim "trusted" Apps-Installer; Emotet nutzt das
3. Beispiele für Viren-Mails nach Übernahme eines Exchange-Servers
4. Phishing-Angriffe von Staatshackern über neue RTF-Template-Injection-Technik
5. BSI-Empfehlung: Reagiert nicht auf SPAM-Mails
6. Android App Barcode Scanner Lite mit Trojaner – öffnet zufällige Webseiten
7. Cyberangriff auf SPAR-Lebensmittelgeschäfte in Yorkshire/England
8. Excel XLL-Addins für Malware-Installation missbraucht
9. Hellmann Logistics Opfer eines Cyberangriffs
10. Cloud-Dienste über USB-over-Ethernet-Schwachstellen angreifbar
11. Malware in Android Apps am Beispiel von GriftHorse
12. Azure Privilege Escalation durch Missbrauch der Azure API-Permissions
13. Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen
14. Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme
15. Windows, TPM, MEM, und Intune: Hürden beim Motherboard-Wechsel
16: Häufige Login-Versuche an Routern (FRITZ!Box)
17: Insides zu Irelands Public Healthcare Ransomware-Fall
18: Sennheiser legt Kundendaten über alte Cloud-Instanz offen
19: Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert
20: CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt
21: Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen
22: Tipps für mehr Schutz gegen Smishing-Attacken
23: BSI warnt: Erhöhte Bedrohung durch Ransomware-Angriffe zu Weihnachten
24: Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte
Anzeige
Moin,
wir hatten gestern eine gut geschriebene Bewerbungs-E-Mail. Anhang war RTF und im Text wurde die zu bewerben Stelle nicht erwähnt.
Wo wird uns das ganze Katz und Maus Spiel noch hinführen 🤔
Irgendwann wird jedes Unternehmen infiziert gewesen sein? 😆
MfG,
Blackii
Das konkrete Bedrohungsszenario ist mir nicht ganz klar.
Auch verstehe ich den Satz "können Akteure eine RTF-Datei als Waffe einsetzen, um Remote-Inhalte abzurufen, indem sie eine URL-Ressource statt eines zugänglichen Dateiressourcen-Ziels angeben." nicht. Was genau ist mit "Remote-Inhalte" gemeint?
Ich verstehe es so: Ein im RTF enthaltenes Objekt verknüpft auf eine externe URL. Dieses Objekt wird beim Aufruf der RTF (automatisch? Ohne Warnmeldung? Ohne weitere Nutzerinteraktion?) aktiviert und verbindet sich mit der URL und lädt dort möglicherweise eine Datei auf den Rechner des Anwenders. Und nun? Führt sich diese Datei selbständig aus oder wie?
Vermutlich wieder ein hätte hätte wäre wenn dann Spiel.
Eventuell wird eine Datei nachgeladen, die in irgendeinem Temp ordner Landet.
Wenn du zufälligerweise diese Datei ausgeführst und zufällig noch Erweiterte rechte hast und vielleicht der Virenscanner es zulässt und und und.
Dann ist es bestimmt ein Riesen Sicherheitsleck.
Aber nur wenn wenn wenn!
Und wenn nicht, dann haben wir wenigstens drüber Berichtet und den Leuten gezeigt wie Gefährlich RTF und Windows sein kann.
Unter Linux passiert soetwas Natürlich nicht, denn dort gibt es kein Wenn.
@Kompadre: Stelle dir das so vor -> In einem als RTF abgespeicherten Word-Dokument kannst Du ja andere Objekte (Bilder, andere OLE-Objekte etc.) einbinden. Beim Öffnen der RTF-Datei werden diese Objekte mit dem Dokument geladen. Ersetzt man nun den Pfad auf eine lokale Ressource durch eine URL ins Web, wird der Inhalt von dort geladen und eingebunden. Das könnte auch ein Schadprogramm sein. Auf die ganzen Angriffsszenarien, dass dieses geladene Objekt einen Pufferüberlauf auslöst, mit dem eine RCE möglich wird, habe ich jetzt noch gar nicht geschaut.
@Stephan: Sehe es jetzt nicht als Fundamental-Kritik – und es steht natürlich jedem frei, so zu tun, als wäre das alles kein Problem. Ich habe es nicht gestetet, da mir Zeit und Lust dazu fehlen.
Aber nur mal so gedankliche Anregung: Gehe auf die Webseite von Stefan Kanthak. Hat dein Virenscanner angeschlagen?
Es gibt dort eine <LINK REL="Preload" HREF="data:application/octet-stream,X5O!…">-Anweisung, die das Eicar-Testvirus in den Browser laden lässt. Zumindest hier schlägt der MSE an und schiebt die heruntergeladenen Daten in die Quarantäne, obwohl im Browser nichts mit diesen Daten gemacht wird.
Und wenn ich mir hier im Blog die diversen DLL-Hijacking-Schwachstellen-Artikel so zu Gemüte führe und weiß, wie die Leute arbeiten, dann habe ich persönlich schon ein Problem mit diesem Eventuell wird eine Datei nachgeladen, die in irgendeinem Temp ordner Landet. Wenn du zufälligerweise diese Datei ausgeführst und zufällig noch Erweiterte rechte hast und vielleicht der Virenscanner es zulässt und und und… Spätestens, wenn irgend eine Anwendung unter Windows, die mit erweiterten Rechten läuft oder gestartet wird, eine DLL-Hijacking-Schwachstelle hat, und die DLLs übereinstimmen, besteht die Chance, dass eine Schad-DLL in einem der Ordner des Windows-Standard-Suchpfads geladen wird.
Von daher: Ich berichte nicht nur darüber, sondern versuche auch für diese Szenarien zu sensibilisieren. Ich traue mir nicht zu, so ad-hoc zu entscheiden: Das ist nur ein theoretisches Angriffsszenario, das kann niemand ausnutzen, weil ich zu oft gesehen habe, wie sich Leute aus dem Microsoft Sicherheitsteam, die ich für viel berufener halte, Tage nach einer Einstufung in Bezug auf die Ausnutzbarkeit geirrt haben.
Und Proof Point thematisiert das ja nicht unter dem Gesichtspunkt "hallo, uns gibt es auch noch", sondern weil die konkret diesen Ansatz in Angriffsszenarien staatlicher Hacker gesehen haben. Sobald die Techniken breiter bekannt sind und eine Ransomware-Gruppe das in ihre Dropper einbaut, fällt deine Einschätzung wie ein Kartenhaus zusammen.
Aber wie geschrieben: Muss jeder für seine Umgebung selbst entscheiden, wie er das einstuft.
"Hat dein Virenscanner angeschlagen? "
Nein, weil eine 11 Jahre alte Sicherheitslücke mittlerweile geschlossen worden ist.
Zumindest mein Windows 10 + FF hat nichts runtergeladen, darum gibt es kein grund für irgendeinen Scanner anzuschlagen.
Drive-By funktioniert mittlerweile auch nicht mehr.
Sicher sind solche Lücken schon lücken, die ausgenutzt werden können.
Doch leider werden kleine dinger oft zu Mega Großen Unsicherheiten aufgezogen.
Ich warte irgendwie darauf, das vor dem Bösen benutzer selbst gewarnt wird.
Denn jeder kann mutwillig ein noch so sicheres System Zerstören wenn er Direkten Zugriff am Gerät hat.
"eine niedrigere Erkennungsrate durch Antivirenprogramme" – das muss man sich mal auf der Zunge ergehen lassen, in dem man die 7 bei Proofpoint auffindbaren Prüfsummen bei Virustotal reinkopiert, gestern haben maximal 8 Antivirenengines von 54 einen Schädling erkannt.
Übrigens ist RTF kein Vorlagenvormat, sondern es ist ein relativ einfaches Dokumentenformat für Textverarbeitungssysteme. Es ist schon ziemlich alt, es wird teilweise schon von Textverarbeitungen aus den 1980er Jahren unterstützt und ist so oftmals der einfachste Weg, Texte inklusive der meisten Formatierungen aus solch alten Programmen heraus zu holen und in die Moderne zu überführen.
Das man aus solchen Dateien URLs in Office aufrufen kann, da frage ich mich mal wieder, was das soll?!?! Praxisrelevanz hat das sicherlich nicht. Bei uns landen RTF-Dateianhänge an Mails seit gestern in der Quarantäne, allerdings besagt die Statistik unserer Mailsecurity-Appliance seit über 3 Jahren keinen Eingang einer solchen Datei, mal sehen, ob die Fälle jetzt ansteigen…
Ähnelt der OLE Technik, also im Prinzip das gleiche in grün. Hier könnten aber ausser MS Word vielleicht noch andere Programme betroffen sein. Bei uns dürfen Programme bis auf wenige Ausnahmen nicht raustelefonieren, das erschlägt sowas nebenbei immer ganz gut mit.
Staatshacker nutzen Staatslücken.
Auch in Word-Dokumenten kann eine URL für den Download, primär einer docx, aber im Grunde genommen für irgendeine Datei eingebettet sein.
Eigentlich sollten Software-Entwickler mit der Frage anfangen: "Wie kann ein Hacker das missbrauche", aber was macht M$ …