Flere IT-sikkerhetsselskaper har, tilsynelatende uavhengig av hverandre, oppdaget angrep som utnytter en til nå ukjent sårbarhet i alle nyere versjoner av Microsoft Word for Windows.
FireEye opplyser at selskapet har kjent til denne sårbarheten i noen uker og har samarbeidet med Microsoft utgivelsen av en sikkerhetsfiks. Men allerede fredag i forrige uke publiserte McAfee detaljer om sårbarheten, trolig fordi sårbarheten allerede blir utnyttet i angrep.
Angrepet utføres ved hjelp av det som egentlig er RTF-filer, men som benytter filnavnendelsen .doc, som kjennetegner eldre Word-filer.
Kjørbar HTML Application-fil
Ifølge FireEye inneholder dokumentene, som i angrepene typisk blir sendt per epost, et integrert OLE2link-objekt. Når brukeren åpner dokumentet, sender winword.exe (den kjørbare Word-filen) en HTTP-spørring til en ekstern server for å laste ned en .hta-fil (HTML Application) som inneholder et ondsinnet skript. Også dette HTA-dokumentet framstår som en uskyldig RTF-fil, men inneholder ett eller flere Visual Basic-skripts.
Fordi HTA-dokumenter er kjørbare, oppnår angriperen mulighet til å kjøre kode på systemet med de samme privilegier som det brukeren selv har.
Noe av det første som skriptene i HTA-filen gjør, er å stenge winword.exe-prosessen. Dette for å hindre at Word viser et varsel som blir generert av det integrerte OLE2link-objektet.
Deretter lastes det ned ytterligere skadevare, før et nytt «narredokument» blir åpnet.
Les også: Krypterte Word-dokumenter brukes til å spre skadevare per epost
OLE har skylden
Ifølge McAfee, som for en uke siden ble gjenopprettet som et separat selskap, er det en sårbarhet i Windows Object Linking and Embedding (OLE) som er rotårsaken til sårbarheten.
Det kan være at Microsoft kommer med en sikkerhetsfiks som fjerner denne sårbarheten, men dette skal ikke være bekreftet.
Men ifølge McAfee kan man likevel sikre seg – i alle fall delvis – mot angrepet på to ulike måter.
Det ene er å la være å åpne Office-dokumenter som mottas fra ukjente kilder. Dette betyr at kjente kilder alltid er til å stole på. Også disse kan være infisert av skadevare som for eksempel sender epost med skadevare.
Et sikrere tiltak, i alle fall mot akkurat denne typen angrep, er å sørge for at «Beskyttet visning» (Office Protected View) er aktivert i Office-applikasjonene. Detaljer om hvordan dette gjøres, finnes på denne siden. I de fleste tilfeller vil Beskyttet visning uansett være aktivert som standard.
Leste du denne? Helt slutt for Windows Vista
