Специалисты из компании FireEye обнаружили уязвимость нулевого дня в приложении Microsoft Word, посредством которой можно распространять вредоносное программное обеспечение при помощи документов формата RTF. Уязвимость до сих пор не закрыта, хотя Microsoft работает совместно с FireEye над выпуском патча. До тех пор разработчики решили обнародовать информацию об уязвимости, поскольку число атак с её применением в последнее время выросло. Кроме того, эту же информацию успела обнародовать другая компания.
Для использования уязвимости от хакеров требуется заставить пользователей открыть вредоносный документ формата RTF, для чего подобные файлы распространяются в виде вложения в письмах электронной почты. Когда документ запущен, выполняется скрипт Visual Basic, который производит подключение к серверу для скачивания дополнительного кода.
В документ Microsoft Word встроен объект OLE2link. Когда пользователь открывает документ, winword.exe выполняет HTTP-запрос к серверу для получения вредоносного файла .hta, который выглядит как файл RTF. Приложение Microsoft HTA загружает и выполняет вредоносный скрипт. Скрипт прекращает процесс winword.exe, скачивает дополнительный код и загружает обманный документ. Оригинальный процесс winword.exe закрывается, чтобы скрыть запросы от OLE2link.
Microsoft может выпустить патч 11 апреля, когда состоится релиз и других обновлений безопасности в рамках вторничный патчей. До тех пор пользователям рекомендуется не открывает документы RTF из неизвестных источников. Подобные документы обычно распространяются по электронной почте.