Naar aanleiding van dit artikel, hebben studenten aan de Fontys FHICT cybersecurity een onderzoek gestart naar deze “exploit”. Met onderstaande resultaten als gevolg.
Uit het artikel blijkt dat de Nederlandse politie Excel files heeft gebruikt om het IP-adres van gebruikers van Hansa Market te achterhalen. In ons onderzoek zijn soortgelijke Excel files opgezet en in een gecontroleerde omgeving gebruikt om data van deelnemers te achterhalen, dit om ze de werking van de “exploit” te achterhalen.
Voor het verzamelen van de data is er in een excel file een afbeelding geplaatst (net zoals het artikel vermeld), die een HEAD-Request stuurt naar een eigen webserver voordat er aan de gebruiker gevraagd wordt om netwerkfuntionaliteiten te gebruiken. De data die tijdens het onderzoek werd verzameld werd geanalyseerd en gefilterd binnen de Elastic Stack.
Na het uitvoeren van het onderzoek hebben wij het volgend vermoeden over hoe de Nederlands politie deze “exploit” heeft gebruikt. Dit houdt in dat wij vermoeden dat er in het excel file een afbeelding wordt geplaatst, waarna er door de code van het excel file zelf aan te passen een link kan worden gelegd naar de webserver. De daadwerkelijk werkwijze is ook tijdens het onderzoek uitgewerkt maar vanwege veiligheids bewegingen besluiten we deze niet te plaatsen, echter kunnen deze wel persoonlijk worden aangevraagd mits een goede reden hiervoor wordt gegeven.
Wat wel uit het onderzoek naar voren kwam is dat Excel voor het ophalen van de afbeeldingen gebruik maakt van een eigen versie van IE7 met een eigen user agent.
Ook is gekeken naar enkele mitigatie mogelijkheden. Dit kunnen zijn, het gebruik van een vpn, het openen in Google Docs, of firewalls laten filteren op user agents.
Na het onderzoek is er een debat ontstaan over het feit of de manier waarop het HEAD-request wordt verzonden een risico of feature is. Uit dit debat zijn de volgende argumenten aangevoerd.
De argumenten die voor het huidige gebruik van het HEAD-request zijn:
Uit het artikel blijkt dat de Nederlandse politie Excel files heeft gebruikt om het IP-adres van gebruikers van Hansa Market te achterhalen. In ons onderzoek zijn soortgelijke Excel files opgezet en in een gecontroleerde omgeving gebruikt om data van deelnemers te achterhalen, dit om ze de werking van de “exploit” te achterhalen.
Voor het verzamelen van de data is er in een excel file een afbeelding geplaatst (net zoals het artikel vermeld), die een HEAD-Request stuurt naar een eigen webserver voordat er aan de gebruiker gevraagd wordt om netwerkfuntionaliteiten te gebruiken. De data die tijdens het onderzoek werd verzameld werd geanalyseerd en gefilterd binnen de Elastic Stack.
Na het uitvoeren van het onderzoek hebben wij het volgend vermoeden over hoe de Nederlands politie deze “exploit” heeft gebruikt. Dit houdt in dat wij vermoeden dat er in het excel file een afbeelding wordt geplaatst, waarna er door de code van het excel file zelf aan te passen een link kan worden gelegd naar de webserver. De daadwerkelijk werkwijze is ook tijdens het onderzoek uitgewerkt maar vanwege veiligheids bewegingen besluiten we deze niet te plaatsen, echter kunnen deze wel persoonlijk worden aangevraagd mits een goede reden hiervoor wordt gegeven.
Wat wel uit het onderzoek naar voren kwam is dat Excel voor het ophalen van de afbeeldingen gebruik maakt van een eigen versie van IE7 met een eigen user agent.
Ook is gekeken naar enkele mitigatie mogelijkheden. Dit kunnen zijn, het gebruik van een vpn, het openen in Google Docs, of firewalls laten filteren op user agents.
Na het onderzoek is er een debat ontstaan over het feit of de manier waarop het HEAD-request wordt verzonden een risico of feature is. Uit dit debat zijn de volgende argumenten aangevoerd.
De argumenten die voor het huidige gebruik van het HEAD-request zijn:
- Dit is zodat Excel er achter kan komen of de png nog bestaat zodat het bekend is of het inschakelen van netwerkfunctionaliteit wel nodig is.
- Dit is zodat Excel de opmaakt van de sheet kan maken omdat er dan bekend is wat de grote is van de png is.
- Dit is zodat de gebruiker niet onnodig een extra klik hoeft uit te voeren voor de netwerkfunctionaliteit in te schakelen die het vervolgens niet doet.
- Het is niet mogelijk om malware te krijgen door deze aanvraag te doen.
- Excel doet ongevraagd een request naar een server, die dit kan monitoren, terwijl je dat misschien helemaal niet wilt vanwege privacy redenen.
- Liever een keer extra, voor niets, klikken dan dat iedereen zomaar mijn informatie kan krijgen.
- Het is niet mogelijk om deze functionaliteit uit te schakelen.
:strip_icc():strip_exif()/u/85308/mirko.jpg?f=community)
:strip_exif()/u/53157/thai4.gif?f=community)
