Automatische link-update Word gebruikt door malware

[Captain Kirk]

Cybercriminelen maken gebruik van een feature in Microsoft Word om links in documenten automatisch bij te werken om zo gebruikers aan te vallen. De feature zorgt ervoor dat als een document een link naar een externe bron bevat, die automatisch bij het openen van het document wordt bijgewerkt.

Bij de nu waargenomen aanval hadden de aanvallers aan het Word-document een link toegevoegd die naar een kwaadaardig rtf-bestand wees. Dit kwaadaardige rtf-bestand maakt gebruik van een kwetsbaarheid in Office die in april van dit jaar door Microsoft werd gepatcht. In het geval het bestand met een kwetsbare Microsoft Word-versie wordt geopend kan er malware op het systeem worden geïnstalleerd.

Volgens Xavier Mertens, handler bij het Internet Storm Center, wordt in dit geval het kwaadaardige rtf-bestand automatisch gedownload om het Word-document bij te werken. Uit screenshots op Malwr.com blijkt echter dat gebruikers een pop-up te zien krijgen of ze het document willen bijwerken met data uit het bestand waarnaar wordt gelinkt. Mogelijk maken de aanvallers gebruik van deze tactiek om detectiemethodes te omzeilen. De feature om links automatisch te updaten is via het optie-menu (Geavanceerd > Algemeen) van Microsoft Word uit te schakelen.

 

 

bron: security.nl