Open dit Word-document niet

IT-beveiliger FireEye sloeg dit weekend alarm over de ontdekking van een exploit die succesvol malware installeert op vrijwel alle versies van Microsoft Word, ook al zijn ze volledig bijgewerkt.

Waarschijnlijk heeft Microsoft morgen een patch gereed die met de reguliere update mee gaat in de verspreiding. Echter tot dat Microsoft heeft aangegeven dat de patch beschikbaar is, moet iedereen uiterst voorzichtig te werk gaan bij het openen van gemailde Wordbestanden. De exploit kan niet zijn werk doen in de 'Beveiligde modus' van Word. Wanneer het niet noodzakelijk is, kan dus beter niet de 'Bewerkingsmodus' worden ingeschakeld.

Exploit doorbreekt vrijwel alle beschermingsmaatregelen

Het probleem start met het openen van een e-mail waaraan een gemanipuleerd Word bestand als bijlage is toegevoegd. De code die is verborgen in het document zoekt contact met een server die beheerd wordt door de aanvaller. Vervolgens wordt een HTML-applicatiebestand binnengehaald dat lijkt op een document dat is gemaakt met Microsofts Rich Text Editor. Dit .hta-bestand haalt vervolgens malware binnen vanuit een aantal bekende malwarefamilies.

Eigenlijk was McAfee de eerste die vrijdagavond in een blog melding maakte van slachtoffers van deze nieuwe zero-day-aanval. De eerste aanvallen vonden al in januari plaats. FireEye heeft al enige tijd contact met Microsoft over het probleem. Microsoft werkt aan een oplossing voor het probleem die waarschijnlijk morgen al kan worden verspreid onder Word-gebruikers. FireEye besloot toch al zaterdag over te gaan tot het publiceren van een waarschuwing voor de kwetsbaarheid omdat McAfee een dag eerder al details over de zeroday-exploit had vrijgegeven. McAfee zegt dat deze gegevens eigenlijk al sinds januari bekend waren.