Makro-angreb

En gammel hacking-metode er blusset op igen, og der er igen en del der går i fælden. Vi taler her om såkaldte makroer, som er en indbygget funktion i diverse Office programmer, såsom Microsoft Office, samt gratis alternativer som Libre Office og Open Office. Metoden var engang meget omtalt, men omtalen veg senere pladsen for de mange angreb der udnyttede sårbarheder, ikke mindst i offerets browser og plugins. Også PDF-læseren Adobe Reader var med sine talrige sårbarheder en tilbagevendende kilde til malware-inficerede PC’er. Efterhånden blev browserproducenterne bedre til at holde deres browser opdateret, og usikre plugins som Oracle Java og Adobe Flash Player er ikke længere nødvendige at have installeret. Adobe lader også til endelig at have forbedret sikkerheden i deres PDF-læser, alt imens browsere har fået tilføjet deres egen funktionalitet til at åbne PDF-filer. Dermed forsvandt nogle af de IT-kriminelles primære veje til at trænge ind på ofrenes PC’er, og de måtte dermed søge andre veje. Formodentlig derfor lader mange IT-kriminelle nu igen til, at foretrække angrebsmetoden med makroer i Office dokumenter.

Sådan foregår et typisk makro-angreb:
1. Du modtager en email med et vedhæftet Office dokument.
2. Du klikker på det vedhæftede Office dokument, som åbnes af dit Office program.
3. Dit Office program spørger om du vil aktivere makroer (ordlyden kan variere, se billederne nedenfor).

Hvis du tillader makroer at køre, så sker angrebet, ofte ved at PowerShell (en indbygget komponent i Windows) bruges til at downloade og køre det egentlige malware. Det er også muligt at foretage hackingen helt filløst, altså uden at downloade noget malware, og i stedet lade indbyggede Windows komponenter foretage alle handlingerne. Det bliver ikke bedre af, at denne hacking-metode har gode chancer for helt at forbigå traditionelt antivirus.

Den gode nyhed er, at det er utrolig simpelt at undgå denne form for hacking. Alt hvad man behøver er, at lade være med at tillade makroer i Office dokumenter. Og det er heldigvis meget sjældent at makroer er nødvendige. Blandt IT-sikkerhedsfolk taler man næsten udelukkende om makroer i forbindelse med hacking og malware, da de sjældent bruges til andet. Men hvis blot man konsekvent nægter at køre makroer og andet aktivt indhold (som dette) i sine Office dokumenter, så preller disse makro-angreb ganske simpelt af. At sikre sig er derfor nemt. Dog er det nemmere at huske og forstå faren, og at sikre sig imod den, når man ved hvordan det ser ud, når et makro-angreb finder sted. Derfor er her samlet en række billeder der viser, hvordan et makro-angreb kan se ud. Bemærk at de fleste af billederne er på engelsk, så i dit eget Office program vil det måske hedde noget andet, såsom Aktivér redigering frem for Enable editing og så videre.

Som det fremgår af billederne, kan makro-inficerede Office dokumenter se vidt forskellige ud, men de har alle én ting til fælles: De forsøger alle at narre offeret til at køre makroen. Selve infektionen af computeren sker først i det øjeblik offeret klikker på knappen der aktiverer makroen. Angrebet kræver altså brugerinteraktion, og en trænet og sikkerhedsbevidst bruger er ikke i farezonen. Løsningen er derfor simpel:

Tillad aldrig makroer!

Forhåbentlig kan denne blog medvirke til, at immunisere vores læsere overfor denne type angreb, angreb som i øvrigt også er en oplagt angrebsvej for en APT/målrettet hacker.

.

.

Tilføjet december 2017:
Der findes nogle få metoder til at sprede malware via Office dokumenter, som hverken anvender makroer eller udnytter sårbarheder, eksempelvis denne (som senere er blevet rettet). Heldigvis kan de håndteres på samme måde som makro-angreb: Hvis du får en uventet popup, så klik ”nej”.