Regelmatig waarschuwen overheden en bedrijven voor geavanceerde cyberspionage, maar veel van de aanvallen om toegang tot netwerken te krijgen en informatie te stelen vinden plaats via een beveiligingslek in Microsoft Office dat al in 2012 werd gepatcht. Dat stelt beveiligingsbedrijf FireEye.

Cyberspionnen worden regelmatig als "advanced persistent threat" (APT) aangeduid. Om toegang tot organisaties te krijgen worden echter niet altijd geavanceerde methodes gebruikt. FireEye stelt dat veel aanvallers een beveiligingslek gebruiken dat als CVE-2012-0158 wordt aangeduid. Dit is de code voor een kwetsbaarheid in Microsoft Office waar op 10 april 2012 een update voor verscheen. Via het beveiligingslek kan een aanvaller de computer volledig overnemen als het doelwit een kwaadaardig Word-document opent.

In het geval de beveiligingsupdate is geïnstalleerd zal de aanval mislukken. Ondanks dat de patch al meer dan 4 jaar beschikbaar is wordt de kwetsbaarheid nog altijd bij gerichte aanvallen op overheden, bedrijven en andere organisaties gebruikt. FireEye waarschuwt nu voor een nieuwe campagne van cyberspionnen gericht tegen Indiase overheidsfunctionarissen. De aanvallers versturen kwaadaardige Word-documenten die van het betreffende Office-lek gebruikmaken om een backdoor te installeren. Via de backdoor hebben de aanvallers volledige controle over het systeem.

Het is niet de enige spionagecampagne waarbij de aanvallers zich op CVE-2012-0158 richten. Eind maart van dit jaar ontdekte beveiligingsbedrijf AlienVault een aanval van een andere APT-groep die ook het Office-lek gebruikte en eerder dit jaar rapporteerden Palo Alto Networks, Check Point, Arbor Networks en Cylance dergelijke Office-aanvallen. Dit toont aan dat er nog altijd organisaties zijn die al meer dan 4 jaar lang geen Office-updates hebben geïnstalleerd.