Konkret geht es um das ActiveX-Control "Snapshot Viewer" aus allen noch unterstützten Access-Versionen außer der aktuellsten aus Office 2007. Mit dem Snapshot Viewer kann man Access-Reports ansehen, ohne die Datenbank selbst zu starten. Das Tool ist auch als eigenständiger Download erhältlich. Worin die Schwachstelle genau besteht, dazu hält sich Microsofts Advisory bedeckt. "Die Attacke ist offenbar gezielt und nicht weitverbreitet", schreibt Microsoft-Sprecher Bill Sisk in einem Blog-Eintrag.
Um die Sicherheitslücke in dem ActiveX-Control auszunutzen, versuchen die Angreifer, ahnungslose Nutzer mit dem Internet Explorer als Browser auf eine Website mit bösartigem Code zu lotsen. Wird dieser ausgeführt, kann auch weitere bösartige Software ablaufen (mit den Rechten des aktiven Benutzers). In seinem Advisory nennt Microsoft zunächst nur eine Reihe von Workarounds. Der Konzern macht aber noch keine Angaben, wann es einen entsprechenden Patch veröffentlichen will. In die Korrektursammlung für den Patch Tuesday für Juli, die heute veröffentlicht wird, schafft er es jedenfalls nicht mehr rechtzeitig.
Matthew Richard vom iDefense Rapid Response Team bei Verisign verweist auf ein weiteres Problem: Weil der Snapshot Viewer vom Hersteller Microsoft digital signiert ist, könnten Nutzer, die Software von Microsoft grundsätzlich vertrauen, sogar dazu gebracht werden, erst unbemerkt den fehlerhaften Viewer herunterzuladen und zu installieren, bevor dann die eigentliche Attacke auf ihren PC erfolgt.
Seit April nutzen Cyberkriminelle ActiveX-Controls verstärkt für Angriffe aus. Dabei greifen sie bekannte Schwachstellen in Controls von unter anderem Microsoft, Citrix Systems, Hewlett-Packard, Sony und D-Link an. Andrew Storms vom Sicherheitsspezialisten nCircle ärgert sich: "Das ist ein weiterer in einer langen Reihe von ActiveX-Bugs", klagt der Experte. "Es ist entmutigend, schon wieder auf ein ActiveX-Problem zu stoßen."
