Dreigingsintelligentie

    Mimecast ontdekt MPP Bleed, een Microsoft Project kwetsbaarheid

    Nieuw onderzoek van Mimecast toont aan hoe CVE-2020-1322 mogelijk van invloed is op Microsoft Project - een onderdeel van de Microsoft Office Suite - wat kan leiden tot onbedoelde openbaarmaking van informatie.

    by Renatta Siewert
    citygettyimages-627040406-1.jpg

    Noot van de redactie: Met dank aan Dor Zvi van Mimecast Research Labs voor deze ontdekking.

    Wat gebeurt er wanneer je geavanceerde inspectie van antiphishingbijlagen combineert met statische bestandsanalyse, machinaal uitvoerbare code in gegevensbestanden, meldingen van klanten over een mogelijk vals-positief, en een toepassing voor projectbeheer?

    De ontdekking van een onlangs gepatchte kwetsbaarheid met Microsoft Project: Mimecast Research Labs heeft een nieuwe kwetsbaarheid ontdekt die van invloed is op Microsoft Project , projectmanagementsoftware die sinds 2010 in Microsoft Office en Microsoft 365 is opgenomen. Er zijn ongeveer

    Met MPP Bleed stelden beveiligingsonderzoekers van Mimecast vast dat er uitvoerbare codefragmenten zaten in wat een bestand met alleen gegevens zou moeten zijn, .MPP. Deze ontdekking is vergelijkbaar met twee recente ontdekkingen van Mimecast: MDB Leaker , een geheugenlek dat de Microsoft Access-database aantastte, evenals CVE-2019-0560 , een kwetsbaarheid die zorgde voor het wijdverspreid, onbedoeld lekken van gevoelige informatie in miljoenen eerder gemaakte Office-bestanden.

    Om de kwetsbaarheid uit te buiten hoeft een kwaadwillende alleen maar .MPP-bestanden te bemachtigen die zijn opgeslagen met een ongepatchte versie van Microsoft Project. Een aanvaller die deze kwetsbaarheid met succes misbruikt, zou informatie kunnen verkrijgen om het systeem van de gebruiker verder in gevaar te brengen of om toegang te krijgen tot gevoelige, privé-informatie die in het bestand is opgeslagen (en voorheen in het geheugen stond), zoals afbeeldingen, tekst of andere metadata. Gelukkig zijn er op het moment van schrijven geen exploits van CVE-2020-1322 bekend.

    Hoe Mimecast Research Labs MPP Bleed ontdekte

    U vraagt zich misschien af hoe onderzoekers dit lek hebben ontdekt. Mimecast ontvangt regelmatig meldingen van klanten over mogelijk vals-positieve detecties van phishing-aanvallen, die soms bestanden bevatten waarvan vermoed wordt dat ze kwaadaardig zijn. Onlangs onderzocht Mimecast Research Labs wat werd beschouwd als een gewone vals-positieve malwaredetectieclaim van een klant van e-mailbeveiliging . Bij nader onderzoek bleek het vermeende vals-positieve malwarebestand een fragment uitvoerbare code te bevatten dat was opgeslagen in een bestand dat was opgeslagen in Microsoft Project. Uitvoerbare code in een gegevensbestand is een typische indicator van een kwaadaardig bestand.

    Hoewel dit misschien onschuldig lijkt, kan het ernstige gevolgen hebben, omdat iedere gebruiker die een eenvoudig Microsoft Project-bestand maakt, bewerkt of opslaat, onbewust gevoelige informatie kan vrijgeven als het bestand in verkeerde handen valt of buiten de controle van de organisatie valt. Het .MPP-bestand kan bijvoorbeeld tekst, grafieken, financiële informatie, notities, afbeeldingen of zelfs database-informatie bevatten, en zou die informatie mogelijk openbaar kunnen maken aan een kwaadwillende. Met andere woorden, dit is het type gegevenslekkage dat hypothetisch nuttig zou kunnen zijn voor cybercriminelen om een aanval uit te voeren of om gevoelige informatie te stelen.

    Helaas is wat als gevolg van deze kwetsbaarheid wordt onthuld willekeurig, waardoor het moeilijk is de uitvoerbare code in een bepaald Project-bestand te reproduceren. Deze willekeurigheid toont aan hoe ernstig deze kwetsbaarheid kan zijn, aangezien onderzoekers niet kunnen voorspellen welke soorten informatie kunnen worden opgeslagen. Maar gelukkig voor Microsoft Project-gebruikers is het geheugenlek specifiek voor alleen Project - het geheugenlek heeft geen invloed op andere Microsoft Office-producten. Het gedrag werd waargenomen in Microsoft Project 2016, hoewel het ook invloed kan hebben op Microsoft Project I Microsoft 365.

    De kern van de zaak

    Nauwgezet onderzoek, zelfs van vals-positieven, kan tot belangrijke veiligheidsontdekkingen leiden. Dit soort onderzoek valideert het belang van het gebruik van een groot aantal en een grote verscheidenheid aan malwaredetectie-engines, aangezien in dit geval net als in andere gevallen de kwetsbaarheid jarenlang door de industrie is gemist.

    Zoals vermeld, zijn er op het moment van schrijven geen bekende exploits van CVE-2020-1322. Microsoft Research Labs dringt er echter bij alle gebruikers van Microsoft Project op aan om de patch te implementeren en de hieronder beschreven best practices voor beveiliging te volgen. Zodra de patch is toegepast, zouden de gepatchte systemen niet langer kwetsbaar moeten zijn voor deze kwetsbaarheid door informatielekken.

    Maar hoe zit het met de miljoenen Project-bestanden die tot nu toe zijn aangemaakt door kwetsbare Microsoft Project-versies en die nu willekeurige stukjes potentieel gevoelige informatie bevatten? Als deze bestanden momenteel beschikbaar zijn op het openbare internet, zouden ze door iedereen kunnen worden geoogst en geanalyseerd. Microsoft Research Labs stelt voor ze te verwijderen of ze opnieuw op te slaan met een gepatchte versie van Microsoft Project.

    Verder veiligheidsadvies:

    • Gebruik een e-mailbeveiligingssysteem met geavanceerde malwaredetectiemogelijkheden, waaronder zowel statische bestandsanalyse als sandboxing om te voorkomen dat schadelijke bestanden de organisatie binnenkomen en dat gevoelige inhoud de organisatie verlaat.
    • Controleer en installeer regelmatig patches en updates voor uw IT-systemen en -toepassingen om beveiligingslekken op te sporen, naarmate deze door de IT-leverancier worden verstrekt.
    • Controleer het netwerkverkeer op verbindingen met mogelijke commando- en controlediensten en op de exfiltratie van mogelijk gevoelige bestanden.

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven