Een beveiligingslek in Word dat aanvallers op dit moment actief gebruiken om computers met malware te infecteren houdt actief rekening met de XP-deadline van 8 april. De datum waarna Windows XP geen beveiligingsupdates meer zullen ontvangen, zo blijkt uit een analyse van Microsoft.

De softwaregigant waarschuwde eerder deze week voor een nieuwe aanval waarbij kwaadaardige RTF-documenten worden gebruikt. Zodra een aangevallen gebruiker een kwaadaardig RTF-bestand opent, kijkt de aanvalscode naar de geïnstalleerde beveiligingsupdates op de computer. Als er na 8 april Microsoft-updates zijn geïnstalleerd zal de shellcode geen andere kwaadaardige activiteiten uitvoeren.

"Dit houdt in dat zelfs na een succesvolle aanval waarbij er willekeurige code kan worden uitgevoerd, de shellcode kan besluiten om de secondaire backdoor niet te installeren en de aanval te stoppen", zegt Microsofts Chengyun Chu. In het geval de backdoor wel wordt geïnstalleerd maakt die via een zelf gesigneerd SSL-certificaat verbinding met de Command & Control-server waarmee de aanvallers de besmette computer besturen.

Volgens Chu is dit certificaat eenvoudig te detecteren. Hoewel een groot aantal Word-versies kwetsbaar zijn, waren de tot nu toe waargenomen aanvallen alleen tegen Microsoft Word 2010 gericht. Gebruikers die zich willen beschermen kunnen een Fix-it oplossing toepassen die het openen van RTF-bestanden voorkomt. Een andere oplossing is de installatie van Microsofts gratis Enhanced Mitigation Experience Toolkit (EMET)..