Microsoft dicht actief misbruikt zero-day lek in Microsoft Office

Een zero-day beveiligingslek in Microsoft Office is door Microsoft gedicht. Het lek werd actief misbruikt en gaf aanvallers de mogelijkheid op afstand willekeurige code uit te voeren op systemen van slachtoffers.

Zowel McAfee als FireEye waarschuwden voor de zero-day aanvallen en meldden dat deze sinds eind januari actief worden misbruikt. Alle versies van Microsoft Office zijn kwetsbaar, inclusief Office 2016 op Windows 10. De bron van het probleem zat volgens McAfee in Windows Object Linking and Embedding (OLE), een feature van Microsoft Office.

Vermomd als RTF-bestanden

Bij de aanval worden malafide bestanden vermomd als RTF-bestanden. Deze malafide bestanden maken vervolgens verbinding met een server die onder beheer staat van de aanvaller en downloaden een bestand dat wordt uitgevoerd als .hta bestand. Dit geeft de aanvaller de mogelijkheid willekeurige code op het systeem uit te voeren. Met behulp van de aanval kon een Windows-systeem worden besmet zonder interactie van de gebruiker. Ook was het niet noodzakelijk dat gebruikers macro’s hebben ingeschakeld om de aanval uit te kunnen voeren.

De aanval is volgens beveiligingsbedrijf Proofpoint gebruikt om de Dridex trojan te installeren op systemen. Deze trojan zoekt actief naar gegevens voor internetbankieren, met als doel hiermee bankfraude te plegen. Meer informatie over deze aanval is te vinden in de blogpost van Proofpoint. FireEye meldt dat de aanval daarnaast is gebruikt om gerichte aanvallen uit te voeren op doelwitten. Hierbij wordt gebruik gemaakt van de malware LATENTBOT en WingBird/FinFisher. Meer informatie over deze aanval is te vinden in de blogpost van FireEye.