Microsoft waarschuwt gebruikers van Office voor aanvallen via een kwaadaardig docx-bestand. Doel van de aanval is om de proxy-instellingen te wijzigen. Op die manier proberen cybercriminelen het internetverkeer van een gebruiker te monitoren en te beïnvloeden. Ook kunnen ze dan wachtwoorden en andere vertrouwelijke informatie buitmaken.
In eerste instantie ontvangt een gebruiker een bevestigingsmail van een bestelling. De bijlage bevat een docx-bestand met een embedded OLE-object, zoals een script dat aan de tekst wordt toegevoegd. Gebruikers hoeven slechts met een muisklik toestemming te geven om het script zijn werk te laten doen: het installeren van malware of het uitvoeren van andere kwaadaardige acties.
Windows Register
Bij de aanvallen die onlangs zijn ontdekt, worden via het script de proxy-instellingen in het Windows Register gewijzigd. Ook wordt er een eigen certificaat geïnstalleerd waarmee de criminelen zelfs verkeer kunnen onderscheppen dat met https is beveiligd.
OLE-objecten
Microsoft raadt gebruikers aan om alleen berichten van afzenders en websites te openen die ze vertrouwen. Tevens kunnen gebruikers het Windows Register aanpassen zodat OLE-objecten in documenten niet meer worden uitgevoerd.