Top 3 MS Office Exploits Hackers gebruiken in 2025 – Blijf alert!

Cyberbeveiliging
MS Office Exploits

Hackers hebben al lang Word- en Excel -documenten gebruikt als bezorgvoertuigen voor malware, en in 2025 zijn deze trucs verre van verouderd. Van phishing-schema’s tot zero-click exploits, kwaadaardige kantoorbestanden zijn nog steeds een van de gemakkelijkste manieren om het systeem van een slachtoffer te maken.

Hier zijn de top drie van Microsoft Office-gebaseerde exploits die dit jaar nog steeds de rondes maken en wat u moet weten om ze te vermijden.

1. Phishing in MS Office: Favoriet van hackers nog steeds

Phishing -aanvallen met behulp van Microsoft Office -bestanden bestaan ​​al jaren en ze gaan nog steeds sterk. Waarom? Omdat ze werken, vooral in zakelijke omgevingen waar teams voortdurend woord- en Excel -documenten uitwisselen.

Aanvallers weten dat mensen gewend zijn om kantoorbestanden te openen, vooral als ze afkomstig zijn van wat eruit ziet als een collega, een klant of een partner. Een nepfactuur, een gedeeld rapport of een vacature: er is niet veel voor nodig om iemand te overtuigen om te klikken. En zodra het bestand open is, heeft de aanvaller zijn kans.

Phishing met kantoorbestanden is vaak gericht op het stelen van inloggegevens. Deze documenten kunnen zijn:

  • Links naar nep Microsoft 365 inlogpagina’s
  • Phishing portals die bedrijfstools of diensten nabootsen
  • Direct kettingen die uiteindelijk op inrichtingscreferenties landen

In deze Any.Run Malware Analysis -sessie bevat een Excel -bestand een kwaadwillende phishing -link:

Bekijk analysesessie met Excel -bestand

Wanneer geklikt, wordt het slachtoffer naar een webpagina gebracht die een cloudflare laat zien “Controleer of u een mens bent”.

Nadat je door hebt geklikt, is er nog een omleiding; Deze keer naar een nep -inlogpagina van Microsoft.

Op het eerste gezicht ziet het er misschien echt uit. Maar binnen de sandbox van Any.run is het gemakkelijk om rode vlaggen te spotten. De Microsoft -inlog -URL is niet officieel; Het is gevuld met willekeurige tekens en behoort duidelijk niet tot het domein van Microsoft.

Geef uw team de juiste tool om bedreigingen sneller in een veilige omgeving te detecteren, te onderzoeken en te rapporteren.

Krijg een proef van elke.run om toegang te krijgen tot geavanceerde malware -analyse

Deze nep -inlogpagina is waar het slachtoffer onbewust hun inloggegevens rechtstreeks aan de aanvaller overhandigt.

Aanvallers worden ook creatiever. De laatste tijd worden sommige phishing -documenten geleverd met QR -codes die erin zijn ingebed. Deze zijn bedoeld om te worden gescand met een smartphone, die het slachtoffer naar een phishing -website sturen of een malware -download veroorzaken. Ze kunnen echter worden gedetecteerd en geanalyseerd met tools zoals elke.run Sandbox ook.

2. CVE-2017-11882: De exploitatie van de vergelijking-editor die niet zal sterven

Voor het eerst ontdekt in 2017, wordt CVE-2017-11882 nog steeds geëxploiteerd vandaag, in omgevingen met verouderde versies van Microsoft Office.

Deze kwetsbaarheid richt zich op de Microsoft -vergelijkingseditor – een zelden gebruikte component die deel uitmaakte van oudere kantooropbuilingen. Het exploiteren is gevaarlijk eenvoudig: het openen van een kwaadaardig woordbestand kan de exploit activeren. Geen macro’s, geen extra klikken nodig.

In dit geval gebruikt de aanvaller de fout om een ​​malware -payload op de achtergrond te downloaden en uit te voeren, vaak via een externe serververbinding.

In onze analysesessie was de geleverde payload Agent Tesla, een bekende info-stealer die werd gebruikt om toetsaanslagen, inloggegevens en klembordgegevens vast te leggen.

Bekijk analysesessie met kwaadaardige lading

In het gedeelte Mitre Att & CK van deze analyse kunnen we zien hoe elke.run Sandbox deze specifieke techniek heeft gedetecteerd die in de aanval werd gebruikt:

Hoewel Microsoft de kwetsbaarheid jaren geleden heeft gepatcht, is het nog steeds nuttig voor aanvallers die richt op systemen die niet zijn bijgewerkt. En met macro’s uitgeschakeld in nieuwere kantoorversies, is CVE-2017-11882 een fallback geworden voor cybercriminelen die gegarandeerde uitvoering willen.

3. CVE-2022-30190: Follina is nog steeds in het spel

De Follina Exploit (CVE-2022-30190) blijft een favoriet onder aanvallers om één eenvoudige reden: het werkt zonder macro’s en vereist geen gebruikersinteractie die verder gaat dan het openen van een Word-bestand.

Follina misbruikt de Microsoft Support Diagnostic Tool (MSDT) en speciale URL’s ingebed in kantoordocumenten om externe code uit te voeren. Dat betekent dat alleen het bekijken van het bestand voldoende is om kwaadaardige scripts te starten, vaak op PowerShell gebaseerd, die contact opnemen met een command-and-control server.

Bekijk analysesessie met Follina

In ons monster van de malware -analyse ging de aanval nog een stap verder. We hebben de tag “Stegocampaign” waargenomen, die het gebruik van steganografie aangeeft – een techniek waarbij malware verborgen is in afbeeldingsbestanden.

De afbeelding wordt gedownload en verwerkt met behulp van PowerShell, waardoor de werkelijke payload wordt geëxtraheerd zonder onmiddellijke alarmen te verhogen.

Tot overmaat van ramp wordt Follina vaak gebruikt in multi-fase aanvalsketens, het combineren van andere kwetsbaarheden of payloads om de impact te vergroten.

Wat dit betekent voor teams die MS Office gebruiken

Als uw team sterk afhankelijk is van Microsoft Office voor dagelijkse werkzaamheden, moeten de hierboven genoemde aanvallen een wake-up call zijn.

Cybercriminelen weten dat kantoorbestanden vertrouwd worden en veel worden gebruikt in het bedrijfsleven. Daarom blijven ze ze exploiteren. Of het nu gaat om een ​​eenvoudig Excel -blad dat een phishing -link verbergt of een Word -document dat stilletjes schadelijke code uitvoert, deze bestanden kunnen ernstige risico’s vormen voor de veiligheid van uw organisatie.

Dit is wat uw team kan doen:

  • Bekijk hoe kantoordocumenten intern worden behandeld; Beperk wie bestanden kan openen of downloaden van externe bronnen.
  • Gebruik tools zoals elke.run Sandbox om verdachte bestanden in een veilige, geïsoleerde omgeving te inspecteren voordat iemand in uw team hen opent.
  • Werk alle kantoorsoftware regelmatig bij en schakel legacy -functies uit zoals macro’s of de vergelijking -editor waar mogelijk.
  • Blijf geïnformeerd Over nieuwe exploittechnieken gekoppeld aan kantoorformaten zodat uw beveiligingsteam snel kan reageren.

Analyseer mobiele malware met Any.run’s nieuwe Android OS -ondersteuning

De dreiging stopt niet bij kantoorbestanden. Mobiele apparaten zijn nu een belangrijk doelwit en aanvallers verspreiden malware via nep -apps, phishing -links en kwaadaardige APK’s.

Dit betekent een groeiend aanvalsoppervlak voor bedrijven en de behoefte aan bredere zichtbaarheid.

Met de nieuwe Android OS -ondersteuning van Any.run kan uw beveiligingsteam nu:

  • Analyseer Android -malware in een echte mobiele omgeving
  • Onderzoek verdachte APK -gedrag voordat het productieapparaten raakt
  • Reageer sneller op mobiele bedreigingen en met meer duidelijkheid
  • Ondersteuning van het incidentrespons op zowel desktop- als mobiele ecosystemen

Het is een grote stap in de richting van volledige dekking en het is beschikbaar op alle plannen, inclusief gratis.

Start vandaag nog uw eerste Android -dreigingsanalyse en geef uw beveiligingsanalisten de zichtbaarheid die ze nodig hebben om uw mobiele aanvaloppervlak te beschermen.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Android Auto 14.1 Beta biedt ondersteuning voor Android -games

XMEMS introduceert de eerste “versterker-minder” MEMS Tweeter

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]