Een ernstig beveiligingslek in Microsoft Visual Basic for Applications dat Microsoft gisteren patchte, blijkt al sinds maart te worden gebruikt om bij organisaties in te breken. Microsoft Security Bulletin MS12-046 verhelpt een 'Insecure Library Loading'-lek in Visual Basic for Applications (CVE-2012-1854). Door een fout in de manier waarop het programma DLL-bestanden verwerkt, kan een aanvaller willekeurige code op het systeem uitvoeren.

Het lek is te misbruiken door een Microsoft Word document te maken, zoals een .docx-bestand, en het te koppelen aan een speciaal gemaakt malware-bestand genaamd Imeshare.dll, dat zich in dezelfde map bevindt. In het geval van de aanval sturen de aanvallers de slachtoffers schone Word-bestanden in een ZIP-bestand. In het ZIP-bestand bevindt zich ook het kwaadaardige DLL-bestand. Zodra het slachtoffer het Word-bestand opent, wordt ook het DLL-bestand uitgevoerd dat de malware op het systeem installeert.

Aangezien Windows DLL-bestanden standaard niet toont, heeft het slachtoffer niet door dat er malware wordt geïnstalleerd, aldus anti-virus Symantec. Naast ZIP-bestanden gebruiken de aanvallers ook LZH-bestanden. Volgens de virusbestrijder zouden voornamelijk Japanse bedrijven via de zero-day kwetsbaarheid zijn aangevallen.