Beveiligingsbedrijf Symantec heeft het zogenoemde 0day-lek afgelopen weekeinde ontdekt. De fout zou voorkomen in Word XP en Word 2003 en kan worden misbruikt door een speciaal geprepareerd tekstbestand als bijlage te verzenden.

Als de ontvanger de bewuste bijlage opent, wordt een Trojaans paard op de computer geïnstalleerd. Volgens Symantec zou ditzelfde lek mogelijk ook misbruikt kunnen worden om een rootkit te installeren.

Stephen Toulouse, beveiligingsexpert bij Microsoft, benadrukt op zijn blog dat Microsoft aan een oplossing werkt. Deze wordt op de maandelijkse patchdag in juni vrijgegeven.

Volgens Toulouse is de aanval 'zeer beperkt' en werkt de softwarefabrikant samen met de getroffen klanten om de malware te kunnen analyseren.

"De aanval die wij hebben gezien, is per mail verstuurd", aldus Toulouse. "De mails lijken in groepen te arriveren en hebben vaak een valse domeinnaam die veel lijkt op de echte domeinnaam van het doelwit."

Vooralsnog heeft Microsoft twee verschillende onderwerpregels gezien om het besmette Word-bestand te verspreiden ('Notice' en 'RE Plan for final agreement').

Bescherming

Hoewel er slechts enkele praktijkvoorbeelden bekend zijn van wormen die het lek in Word misbruiken, waarschuwen onderzoekers van het Internet Storm Center van het SANS Institute voor de mogelijke gevolgen van het lek.

"Microsoft zal in juni een patch vrijgeven om dit probleem op te lossen. Daarna zullen er waarschijnlijk andere aanvallen zijn die andere exploits gebruiken", waarschuwt Johannes Ullrich van SANS.

Ullrich adviseert systeembeheerders gebruikers geen adminrechten te geven. De bewuste worm heeft deze rechten nodig om de Trojan te kunnen installeren. Ook adviseert de expert het uitgaande verkeer te monitoren. Bron: Techworld