Hos de aller fleste Windows-brukere blir operativsystemet og mange andre programvareprodukter, inkludert Microsoft Office, oppdatert mer eller mindre automatisk – i alle fall dersom brukerne sørger for å starte programvaren på nytt en gang iblant. Dette gjelder også selve operativsystemet.
Samtidig er det mange nok som av ofte uklare årsaken ikke har installert selv kritiske sikkerhetsoppdateringer, selv mange måneder etter at oppdateringene har blitt utgitt.
I november 2017 kom Microsoft med en sikkerhetsoppdatering som fjerner en Office-sårbarhet (CVE-2017-11882) som den gang ikke ble ansett for å være av det aller mest alvorlige slaget. Microsofts opprinnelige vurdering av hvor sannsynlig det er at sårbarheten blir utnyttet, var «Exploitation Less Likely».
Det at sikkerhetsoppdateringen ikke har blitt ansett som kritisk, kan være en medvirkende årsak til å mange ikke har installert den.
Ormfare: – Det er bare et spørsmål om tid før angrepskode er tilgjengelig
Svært mye utnyttet
I ettertid har det vist seg at CVE-2017-11882 var blant de tre mest utnyttede sårbarhetene i hele 2018. Sårbarheten finnes i en eldre Office-komponent, Microsoft Equation Editor og berører derfor en hel rekke Office-versjoner. Sikkerhetsfiksen har for øvrig blitt omtalt som ganske oppsiktsvekkende.
Rett før pinsen anså Microsoft det som nødvendig å advare mot en temmelig ny skadevarekampanje som utnytter denne Office-sårbarheten. Skadevaren distribueres via epost, og ifølge selskapet gjør den det mulig for angripere å kjøre ondsinnet kode automatisk, uten at brukeren behøver å gjøre annet enn å åpne vedlegget, en RTF-fil.
An active malware campaign using emails in European languages distributes RTF files that carry the CVE-2017-11882 exploit, which allows attackers to automatically run malicious code without requiring user interaction. pic.twitter.com/Ac6dYG9vvw
— Microsoft Security Intelligence (@MsftSecIntel) 7. juni 2019
Bakdør
RTF-filen laster ned og kjører en rekke skript skrevet i ulike språk, inkludert VBScript, PowerShell og PHP, for deretter å laste ned den virkelig ondsinnede koden, en bakdør som forsøker å koble seg til et gitt domene. Ifølge Microsoft var dette domenet utilgjengelig da advarselen ble publisert.
Office-brukere som har installert den aktuelle sikkerhetsoppdateringen, er beskyttet mot denne skadevaren. Det er også brukere av mange separate sikkerhetsprodukter, inkludert Microsofts egne Office 365 ATP- og Windows Defender ATP-produkter.
De som er usikre på om den aktuelle sikkerhetsoppdateringen er installert, kan laste ned og manuelt installere oppdateringer til Office 2007 og nyere via lenker som er oppgitt på denne siden.
Les også: Opplever at phishing fungerer bedre ved å utnytte sikkerhetsprodukt fra Microsoft (Digi ekstra)