Aanvallers maken gebruik van een feature in Microsoft Word om informatie over computers te achterhalen, zo laat anti-virusbedrijf Kaspersky Lab in een blogpost weten. Het gaat om de IncludePicture-feature waarmee het mogelijk is om via een link een afbeelding aan een document toe te voegen. Zodra het document wordt geopend zal Word de gelinkte afbeelding laden en in het document weergeven.
Kaspersky meldt dat aanvallers documenten als e-mailbijlage versturen die van deze feature misbruik maken. In plaats van een afbeelding bevatten de documenten links naar verschillende php-scripts. Als de ontvanger het document opent wordt de naam en versie van het besturingssysteem, de browser, .Net Framework en Microsoft Office naar de opgenomen links gestuurd. Volgens het anti-virusbedrijf zijn vorig jaar verschillende klanten het doelwit van deze aanval geworden. In april van dit jaar gaven onderzoekers van Kaspersky Lab tijdens de Security Analyst Summit al een presentatie over de aanval.
Eén van de documenten die de aanvallers gebruikten heeft als onderwerp "Google and Google Scholar Tips". Een slachtoffer dat dit document had geopend ontving een aantal dagen later opnieuw een document via e-mail, dit keer met een exploit voor zijn specifieke versie van Microsoft Word. Wie er achter de aanval zit en wie het doelwit zijn laat Kaspersky Lab niet weten. Volgens het anti-virusbedrijf werkt de IncludePicture-feature ook in in Microsoft Office voor Android en iOS. LibreOffice en OpenOffice bevatten de feature niet en zullen de kwaadaardige links in het document dus niet openen.
In tegenstelling tot de aanvallen via Microsoft Office-documenten die tot op heden plaatsvinden, waarbij er gebruik wordt gemaakt van macro's, embedded Flash-objecten of andere actieve content, vereist deze aanval geen extra interactie van de gebruiker. Alleen het openen van het document is voldoende om de systeeminformatie te versturen.
Video - Undocumented MS Word Features Abused By Attackers. Bron: YouTube
Deze posting is gelocked. Reageren is niet meer mogelijk.