Flere IT-sikkerhetsselskaper har, tilsynelatende uavhengig av hverandre, oppdaget angrep som utnytter en til nå ukjent sårbarhet i alle nyere versjoner av Microsoft Word for Windows.
FireEye opplyser at selskapet har kjent til denne sårbarheten i noen uker og har samarbeidet med Microsoft utgivelsen av en sikkerhetsfiks. Men allerede fredag i forrige uke publiserte McAfee detaljer om sårbarheten, trolig fordi sårbarheten allerede blir utnyttet i angrep.
Angrepet utføres ved hjelp av det som egentlig er RTF-filer, men som benytter filnavnendelsen .doc, som kjennetegner eldre Word-filer.
Kjørbar HTML Application-fil
Ifølge FireEye inneholder dokumentene, som i angrepene typisk blir sendt per epost, et integrert OLE2link-objekt. Når brukeren åpner dokumentet, sender winword.exe (den kjørbare Word-filen) en HTTP-spørring til en ekstern server for å laste ned en .hta-fil (HTML Application) som inneholder et ondsinnet skript. Også dette HTA-dokumentet framstår som en uskyldig RTF-fil, men inneholder ett eller flere Visual Basic-skripts.
Fordi HTA-dokumenter er kjørbare, oppnår angriperen mulighet til å kjøre kode på systemet med de samme privilegier som det brukeren selv har.
Noe av det første som skriptene i HTA-filen gjør, er å stenge winword.exe-prosessen. Dette for å hindre at Word viser et varsel som blir generert av det integrerte OLE2link-objektet.
Deretter lastes det ned ytterligere skadevare, før et nytt «narredokument» blir åpnet.
Les også: Krypterte Word-dokumenter brukes til å spre skadevare per epost
OLE har skylden
Ifølge McAfee, som for en uke siden ble gjenopprettet som et separat selskap, er det en sårbarhet i Windows Object Linking and Embedding (OLE) som er rotårsaken til sårbarheten.
_logo.svg.png){kind=logo}
Det kan være at Microsoft kommer med en sikkerhetsfiks som fjerner denne sårbarheten, men dette skal ikke være bekreftet.
Men ifølge McAfee kan man likevel sikre seg – i alle fall delvis – mot angrepet på to ulike måter.
Det ene er å la være å åpne Office-dokumenter som mottas fra ukjente kilder. Dette betyr at kjente kilder alltid er til å stole på. Også disse kan være infisert av skadevare som for eksempel sender epost med skadevare.
Et sikrere tiltak, i alle fall mot akkurat denne typen angrep, er å sørge for at «Beskyttet visning» (Office Protected View) er aktivert i Office-applikasjonene. Detaljer om hvordan dette gjøres, finnes på denne siden. I de fleste tilfeller vil Beskyttet visning uansett være aktivert som standard.
Leste du denne? Helt slutt for Windows Vista
