De afgelopen maanden is er een toename zichtbaar van het aantal aanvallen waarbij exploits voor Microsoft Office worden ingezet, zo heeft Microsoft laten weten. De exploits maken gebruik van vier kwetsbaarheden in de kantoorsoftware die inmiddels allemaal door Microsoft zijn gepatcht.

Drie van de beveiligingslekken waren echter zogeheten zerodays, waar op het moment van de eerste aanval nog geen beveiligingsupdate voor beschikbaar was. Om van de kwetsbaarheden misbruik te maken sturen de aanvallers een kwaadaardig Office-document. Zodra het document met een kwetsbare Office-versie wordt geopend kan een aanvaller in het ergste geval volledige controle over het systeem krijgen. De toename van de aanvallen zou mede worden verklaard door de beschikbaarheid van exploit-builders, programma's waarmee er eenvoudig een exploit aan een document kan worden toegevoegd.

Volgens Microsoft zijn de aanvallen tegen verschillende sectoren gericht. Het gaat zowel om aanvallen die tegen specifieke personen of organisaties zijn gericht als bredere aanvallen door cybercriminelen. Gebruikers en organisaties kunnen zich beschermen door beschikbare Office-updates zo snel als mogelijk te installeren. In de praktijk blijkt dat Office-updates soms nooit worden geïnstalleerd. Jarenlang hebben aanvallers gebruik gemaakt van een Office-lek dat al in 2012 door Microsoft was gepatcht en nog steeds komen aanvallen tegen dit specifieke lek voor.

Naast het installeren van updates laat Microsoft weten dat Windows Defender Exploit Guard, onderdeel van de Windows 10 Fall Creators Update, over een feature beschikt om aanvallen via Office-exploits te voorkomen. De feature wordt Attack Surface Reduction (ASR) genoemd en kan "kwaadaardig gedrag" in kwaadaardige documenten blokkeren. ASR kan ook worden gebruikt om het openen van kwaadaardige documenten vanuit Microsoft Office of webmaildiensten zoals Gmail te blokkeren.