Een zero day-lek in alle door Microsoft ondersteunde Windowsversies is op beperkte schaal gebruikt voor het infecteren van Oekraïense overheidscomputers met malware, maar vereist wel enige social engineering om succesvol te zijn, zo meldt beveiligingsbedrijf iSight Partners. Ook een Amerikaanse denktank zou het slachtoffer zijn geworden. Microsoft zal vanavond om 19:00 met een beveiligingsupdate komen om het lek te dichten.

De nu waargenomen aanvallen begonnen met een spear phishingaanval, waarbij er een kwaadaardig PowerPoint-bestand werd gebruikt. Het bestand maakt misbruik van een kwetsbaarheid in de OLE package manager in Microsoft Windows en Server waardoor een aanvaller vervolgens willekeurige code kan uitvoeren. De kwetsbaarheid (CVE-2014-4114) zorgt ervoor dat de OLE packager externe bestanden van onbetrouwbare bronnen kan aanroepen, zoals INF-bestanden. Zo is het mogelijk om de INF-bestanden te downloaden en installeren, maar hier moet de gebruiker wel aan meewerken.

"Een aanvaller kan dit lek gebruiken om willekeurige code uit te voeren, maar heeft een speciaal geprepareerd bestand en social engineering nodig om een gebruiker te overtuigen het bestand te openen, zoals ook in deze campagne is waargenomen", aldus het beveiligingsbedrijf. Wat voor gegevens er via de geïnstalleerde malware werd verzameld is onbekend.

De afgelopen vijf weken zou iSight Partners samen met Microsoft de aanvallen hebben gemonitord, maar voor zover bekend viel het aantal aanvallen mee. Daarom werd besloten om de bekendmaking van het lek af te stemmen met het verschijnen van de patch. XP-gebruikers hoeven zich geen zorgen te maken, aangezien deze Windowsversie niet kwetsbaar is.