Zowel bedrijven als consumenten laten na om belangrijke beveiligingsupdates voor Microsoft Office te installeren en lopen daardoor het risico om met malware besmet te raken. Onlangs ontdekten onderzoekers van beveiligingsbedrijf FireEye een programma genaamd Microsoft Word Intruder (MWI) dat op fora voor cybercriminelen wordt aangeboden en het mogelijk maakt om Officegebruikers aan te vallen.

MWI genereert documenten die, zodra het doelwit die opent, de computer met malware proberen te infecteren. De aanval is echter alleen succesvol als de gebruiker of systeembeheerder beschikbare Office-updates niet heeft geïnstalleerd. MWI richt zich namelijk op kwetsbaarheden in Microsoft Office die in 2010, 2012, 2013 en 2014 werden gepatcht. Toch blijken er nog altijd gebruikers te zijn die deze updates missen.

FireEye ontdekte twee aanvalscampagnes in december waarbij documenten werden ingezet die met MWI waren gemaakt. De eerste campagne verspreidde zich via een spamrun en gebruikte e-mails die van legitieme bedrijven afkomstig leken, waarbij zogenaamd allerlei kortingen en prijsacties werden aangeboden. Zodra ontvangers de documenten openden zorgde de aanvalscode in het document ervoor dat er malware op de computer werd geïnstalleerd. Uiteindelijk bleek dat 809 personen het document had geopend, waarvan er bij 144 (17,7%) malware werd gedownload.

De tweede aanvalscampagne deed zich voor als een bestelling en werd door 597 mensen geopend, waarvan er bij 180 (30%) malware werd geïnstalleerd. Volgens analist Nart Villeneuve hebben allerlei cybercriminelen, zelfs die over weinig technische kennis beschikken, nu door programma's als Microsoft Word Intruder toegang tot kwaadaardige documenten voor het aanvallen van ongepatchte Officegebruikers. Deze week rapporteerde anti-virusbedrijf Symantec dat allerlei bedrijven in de energiesector succesvol waren aangevallen via een lek in Microsoft Office dat al in 2012 werd gepatcht.