Skadevarekampanje

Gammel Office-sårbarhet utnyttes igjen og igjen

Microsoft advarer om ny skadevarekampanje.

Selv gamle Microsoft Office-sårbarheter kan være effektive for angripere så lenge det er mange som lar være å installere de høyst nødvendige sikkerhetsoppdateringene.
Selv gamle Microsoft Office-sårbarheter kan være effektive for angripere så lenge det er mange som lar være å installere de høyst nødvendige sikkerhetsoppdateringene. (Foto: Colourbox/Suchada Toemkraisri)

Microsoft advarer om ny skadevarekampanje.

Hos de aller fleste Windows-brukere blir operativsystemet og mange andre programvareprodukter, inkludert Microsoft Office, oppdatert mer eller mindre automatisk – i alle fall dersom brukerne sørger for å starte programvaren på nytt en gang iblant. Dette gjelder også selve operativsystemet. 

Samtidig er det mange nok som av ofte uklare årsaken ikke har installert selv kritiske sikkerhetsoppdateringer, selv mange måneder etter at oppdateringene har blitt utgitt. 

I november 2017 kom Microsoft med en sikkerhetsoppdatering som fjerner en Office-sårbarhet (CVE-2017-11882) som den gang ikke ble ansett for å være av det aller mest alvorlige slaget. Microsofts opprinnelige vurdering av hvor sannsynlig det er at sårbarheten blir utnyttet, var «Exploitation Less Likely».

Det at sikkerhetsoppdateringen ikke har blitt ansett som kritisk, kan være en medvirkende årsak til å mange ikke har installert den.

Ormfare: – Det er bare et spørsmål om tid før angrepskode er tilgjengelig

Svært mye utnyttet

I ettertid har det vist seg at CVE-2017-11882 var blant de tre mest utnyttede sårbarhetene i hele 2018. Sårbarheten finnes i en eldre Office-komponent, Microsoft Equation Editor og berører derfor en hel rekke Office-versjoner. Sikkerhetsfiksen har for øvrig blitt omtalt som ganske oppsiktsvekkende.

Rett før pinsen anså Microsoft det som nødvendig å advare mot en temmelig ny skadevarekampanje som utnytter denne Office-sårbarheten. Skadevaren distribueres via epost, og ifølge selskapet gjør den det mulig for angripere å kjøre ondsinnet kode automatisk, uten at brukeren behøver å gjøre annet enn å åpne vedlegget, en RTF-fil. 

Bakdør

RTF-filen laster ned og kjører en rekke skript skrevet i ulike språk, inkludert VBScript, PowerShell og PHP, for deretter å laste ned den virkelig ondsinnede koden, en bakdør som forsøker å koble seg til et gitt domene. Ifølge Microsoft var dette domenet utilgjengelig da advarselen ble publisert. 

Office-brukere som har installert den aktuelle sikkerhetsoppdateringen, er beskyttet mot denne skadevaren. Det er også brukere av mange separate sikkerhetsprodukter, inkludert Microsofts egne Office 365 ATP- og Windows Defender ATP-produkter. 

De som er usikre på om den aktuelle sikkerhetsoppdateringen er installert, kan laste ned og manuelt installere oppdateringer til Office 2007 og nyere via lenker som er oppgitt på denne siden.

Les også: Opplever at phishing fungerer bedre ved å utnytte sikkerhets­produkt fra Microsoft (Digi ekstra)

Kommentarer (5)

Kommentarer (5)
Til toppen