Netwerkgigant Cisco waarschuwt internetgebruikers voor aanvallen waarbij pub-bestanden worden gebruikt om computers met malware te infecteren. Pub-bestanden worden gemaakt door Microsoft Publisher, dat onderdeel van Microsoft Office is. In tegenstelling tot andere Office-programma's ondersteunt Publisher geen 'Protected View'. Dit is een "read only" modus die gebruikers tegen kwaadaardige bestanden moet beschermen.

Bij de nu waargenomen aanvallen ontvangen gebruikers een e-mail met een pub-bestand. Als gebruikers het bestand openen lijkt Publisher te crashen en krijgt de gebruiker een zandloper te zien dat het bestand nog wordt geopend. Volgens Cisco komt dit door een 2MB groot macro-bestand dat tijdens het openen van het pub-bestand wordt geladen. Deze macro schrijft een kwaadaardig JavaScript-bestand naar de harde schijf dat uiteindelijk malware downloadt. Uit de omschrijving van Cisco wordt niet duidelijk of de macro automatisch wordt uitgevoerd of dat de gebruiker dit moet doen. We hebben Cisco dan ook om uitleg gevraagd.

Update

Cisco laat aan Security.NL weten dat de gebruiker macro's moet inschakelen om de aanval succesvol te laten zijn. Standaard staan macro's uitgeschakeld.