Sikkerhedsforskere har opdaget en ny angrebsmetode, der anvender funktionen subDoc i Microsoft Word. SubDoc gør det muligt at angive et underdokument, der skal indlæses i det aktuelle dokument.
Underdokumentet kan befinde sig på en anden computer. Sikkerhedsfirmaet Rhino Security Labs har opdaget, at når Word forsøger at hente underdokumentet, og det ligger på en password-beskyttet server, prøver Word at logge ind. Derved sendes brugerens navn og hashfunktionen af adgangskoden til serveren.
De 56 sikkerhedsrettelser i januars samling fra Microsoft omfatter de rettelser til hardwaresårbarhederne Meltdown og Spectre, der blev udsendt tidligere på måneden.
I alt har Microsoft givet 16 af sårbarhederne firmaets højeste risikovurdering. Dog er der 28 sårbarheder, som lader angribere afvikle skadelig programkode.
De kritiske sårbarheder berører Windows, Outlook, Word og scripting-delen af browserne Internet Explorer og Edge.
I oktober opdagede sikkerhedsforskere, at det er muligt at afvikle kode i Word-dokumenter uden brug af makroer. I stedet kan man anvende DDE (Dynamic Data Exchange), der er beregnet til dataudveksling mellem applikationer.
Metoden afføder et par advarsler til brugeren, når man prøver at åbne et dokument, hvor den anvendes.
Microsoft reagerede først med at sige, at funktionen fungerede som planlagt. Firmaet havde ingen planer om at ændre den.
Sikkerhedsforskere har set flere eksempler på skadelig software, der udnytter en nyopdaget metode til at afvikle kommandoer fra Office-dokumenter.
Metoden blev først set i Word, men siden har forskere opdaget, at den også kan aktiveres i Outlook. Den går ud på at indlejre et DDE-felt (Dynamic Data Exchange), der kalder en kommando.
Senest er botnettet Necurs begyndt at bruge metoden til at sprede ransomwareprogrammet Locky. Det sker via e-mails med vedhæftede Word-dokumenter.
I stedet for makroer kan angribere anvende DDE (Dynamic Data Exchange) til at afvikle programkode i Microsoft Word. Det har sikkerhedsforskere fra Sensepost opdaget.
Metoden går ud på at oprette et Word-dokument med et indlejret felt. I koden til feltet skriver angriberen den kommando, der skal afvikles.
Hvis et potentielt offer forsøger at åbne Word-dokumentet, afføder det to advarsler. Den første siger, at dokumentet har links til data, der kan komme fra andre filer.
Den anden advarsel beder brugeren bekræfte, at vedkommende ønsker at køre kommandoen.
