Microsoft waarschuwt gebruikers van Office voor een kwetsbaarheid in de applicatie. Aanvallers kunnen via een gecomprimeerd docx-bestand de proxy-instellingen aanpassen en zo gegevensverkeer monitoren en manipuleren. Door aanpassingen van certificaten kan https-versleuteld verkeer worden bekeken door criminelen.
In een uitgebreide technische blog komt de kwetsbaarheid aan bod. Volgens de beveiligings-experts is het bijvoorbeeld mogelijk om wachtwoorden of andere vertrouwelijke gegevens te onderscheppen.
Security.nl beschrijf hoe dat meestal verloopt. ‘De aanval begint met een bevestigingsmail van een bestelling. Als bijlage is er een docx-bestand meegestuurd. Het document bevat een embedded OLE-object. Een OLE-object kan bijvoorbeeld een script zijn dat aan de tekst wordt toegevoegd. Zodra gebruikers op het object klikken wordt gevraagd of ze het script willen uitvoeren. Het script kan vervolgens malware op de computer installeren of andere acties uitvoeren.’
In de aanval die nu is ontdekt worden via het script de proxy-instellingen in het Windows Register aangepast en een eigen certificaat geïnstalleerd. Dat certificaat laat de aanvallers ook via https versleuteld verkeer inspecteren.
Firefox
Voor webbrowser Firefox wordt een apart certificaat geïnstalleerd. Firefox gebruikt niet de certificaatdatabase van Windows, maar een eigen systeem.
Microsoft adviseert gebruikers om alleen berichten van vertrouwde afzenders en websites te openen. Eventueel kan Windows Register worden aangepast om te voorkomen dat OLE-objecten in documenten worden uitgevoerd.
