Microsoft heeft dinsdag een fix uitgebracht waarmee een ernstig beveiligingslek in Word is gedicht. Een e-mailcampagne die maandag werd ontdekt, maakte gebruik van deze kwetsbaarheid, waarbij de bankingtrojan Dridex werd verspreid.

Microsoft heeft het Word-lek gedicht via een fix, die onderdeel is van de reguliere maandelijkse beveiligingsupdate die dinsdag uitkwam. Dat meldt ZDNet. Microsoft heeft bevestigd dat het via dit lek mogelijk is om malware te installeren op een systeem met de allerlaatste beveiligingsupdates. Aanvallers zouden volgens Microsoft de controle van het systeem kunnen overnemen, nieuwe programma's kunnen installeren en nieuwe accounts kunnen creëren met volledige gebruikersrechten.

Maandag waarschuwde beveiligingsbedrijf Proofpoint dat het de e-mailcampagne had ontdekt. De aanvallers maken daarbij gebruik van een lek in Microsoft Word, dat in het afgelopen weekend door onderzoekers naar buiten werd gebracht. De malware betreft de Dridex-trojan, die zich onder meer richt op het stelen van inloggegevens voor internetbankieren.

De spamcampagne was gericht aan miljoenen gebruikers en concentreerde zich op ondernemingen in Australië. De onderzoekers merken op dat de personen achter de campagne snel hebben gereageerd, omdat het Word-lek nog niet lang bekend is. Hiervoor werden veel slachtoffers met Dridex geïnfecteerd door het gebruik van Word-macro's.

De verstuurde e-mails zijn voorzien van een bijlage in de vorm van een rtf-bestand. De e-mail doet het voorkomen alsof hij afkomstig is van een apparaat binnen de organisatie van de ontvanger, bijvoorbeeld een scanner of een kopieerapparaat. Het onderwerp is dan ook 'scan data' en de bijlagen dragen namen als 'scan 12345', waarbij de getallen willekeurig zijn. Zodra het document wordt geopend, wordt de exploit uitgevoerd. Proofpoint merkt op dat dit tijdens tests gebeurde, hoewel er een bericht in Word 2010 opdook met de waarschuwing dat het bestand links naar andere bestanden bevat.

Het Word-lek in kwestie, dat het overnemen van een systeem mogelijk maakt, werd onlangs naar buiten gebracht door onderzoekers van beveiligingsbedrijf McAfee en later door FireEye. Het gaat om een ernstig lek, omdat een succesvolle exploit de beveiligingsmaatregelen van Windows omzeilt en niet vereist dat gebruikers macro's inschakelen in Word. Gebruikers wordt dan ook aangeraden om geen onbekende Word-bestanden te openen. De methode zou niet werken in combinatie met Protected View, dat daarom een belangrijke barrière vormt, mits het ingeschakeld is.

De aanval via Word-documenten werkt doordat het bestand een OLE2link-object bevat. Na het openen van het bestand haalt Word via een http-verzoek een kwaadaardig hta-bestand binnen, dat eruitziet als een rtf-bestand. Vervolgens wordt Word afgesloten om de eerdergenoemde waarschuwing te verbergen en krijgt het slachtoffer een nepdocument te zien.

Reacties mogelijk gemaakt door CComment