Firmy McAfee i FireEye ujawniły ataki typu “in-the-wild” wykorzystujące podatność typu 0-day we wszystkich wersjach Mirosoft office, ataki te umożliwiają osobie atakującej ciche wykonanie kodu na docelowych komputerach i potajemną instalację złośliwego oprogramowania.
Jak informuje McAfee pierwsze ataki miały już miejsce w styczniu tego roku i były przeprowadzane za pomocą plików Word-owych z wykorzystaniem botnet-u Dridex.
Jak się okazuję podatność ta została wykryta w lipcu 2016 r. przez Ryan-a Hanson-a i zaraportowana do Microsoft w październiku 2016 r. o czym sam autor piszę na Twiterze. A także doradza zmianę w rejestrach która uniemożliwia działanie podatności.
Software\Microsoft\Office\15.0\Word\Security\FileBlock\RtfFiles to 2 and OpenInProtectedView to 0.
Jak informuje Ryan włączenie widoku chronionego jest dobrym zabezpieczeniem ale i w tym przypadku jest możliwe wykorzystanie podatności.