Een toolkit waarmee cybercriminelen kwaadaardige Word-documenten kunnen genereren is uitgebreid met een 'nieuwe' Word-aanval, wat een serieuze dreiging is voor bedrijven en organisaties die achterlopen met het installeren van beveiligingsupdates voor Microsoft Office.

Microsoft Word Intruder (MWI) is een toolkit die malafide Word-documenten genereert die van kwetsbaarheden in Microsoft Office gebruikmaken. Het gaat om kwetsbaarheden uit 2010, 2012, 2013 en 2014 waarvoor beveiligingsupdates al jaren beschikbaar zijn. Toch zijn er bedrijven en organisaties die deze updates niet installeren. Het openen van een kwaadaardig document kan er daardoor voor zorgen dat een aanvaller malware op de computer kan plaatsen, om vervolgens allerlei informatie te stelen of andere computers in het netwerk aan te vallen.

Om de kans op succes te vergroten heeft de ontwikkelaar van MWI een nieuwe exploit aan de toolkit toegevoegd. Het gaat om een kwetsbaarheid in Microsoft Office die in april van dit jaar werd gepatcht. Via het beveiligingslek kan een aanvaller, als het document op een ongepatchte computer wordt geopend, willekeurige code op de computer uitvoeren, zoals het installeren van malware. In september werden er al aanvallen waargenomen die van de kwetsbaarheid gebruikmaakten.

Nu de exploit voor de kwetsbaarheid aan de MWI-toolkit is toegevoegd kunnen veel meer cybercriminelen over deze aanval beschikken. Volgens het Britse anti-virusbedrijf Sophos een serieus probleem, want zelfs de oude exploits in de toolkit hadden een succespercentage van tussen de 15% en 50%. "Dus met deze nieuwe exploit kunnen we bij malware-campagnes die van MWI gebruikmaken hogere infectiepercentages verwachten", zo stelt onderzoeker Gabor Szappanos. Bedrijven kunnen zich echter eenvoudig wapenen, namelijk het installeren van de betreffende patch.