Poważna dziura w Microsoft Word Strona główna Aktualności20.05.2006 02:13 Udostępnij: O autorze Grzegorz Niemirowski Firmy antywirusowe ostrzegają przed nową dziurą w Wordzie, która jako pierwsza została wykorzystana do włamań w Chinach i Taiwanie a niedługo stanie się groźna w innych krajach. Użytkownicy otrzymują e-mail ze spreparowanym załącznikiem .doc, który po uruchomieniu dzięki obecności dziury w MS instaluje backdoora, który maskuje się w systemie korzystając z technik typowych dla rootkitów. Word w międzyczasie wykonuje nieprawidłową operację i oferuje ponowne otwarcie pliku. Co ciekawe po infekcji wirus tworzy dokument na nowo, już bez wirusa i Word otwiera już całkiem normalny plik. Jest to dodatkowy sposób na ukrycie się przez użytkownikiem i antywirusami. Następnie wysyła do chińskiego serwera informacje o zarażonym komputerze i oczekuje na polecenia. Wśród tych poleceń może znaleźć się otwieranie, zapisywanie i wyszukiwanie plików, dostęp do rejestru, uruchamianie i zatrzymywanie usług i innych procesów, wykonywanie zrzutów ekranu, pobieranie listy okien, tworzenie własnych okien, a także blokowanie, zamykanie i restartowanie Windows. Shellcode (kod maszynowy wykonywany przez program na skutek ataku) uruchamiany jest przez Word 2003 i 2002 (XP). W przypadku Worda 2000 co prawda następuje crash ale shellcode nie zostaje wykonany i wirus nie uaktywnia się. Microsoft został poinformowany o luce i pracuje nad poprawką. Jej wydanie jest planowane razem z innymi poprawkami czyli 13 czerwca. Użytkownicy powinni pamiętać, że wirusy mogą się rozprzestrzeniać nie tylko przez dziury w programach sieciowych albo po prostu pliki wykonywalne, ale też dokumenty, które otworzone w dziurawych programach mogą spowodować wykonanie szkodliwego kodu. Więcej informacji na ten temat znajduje się na stronie SANS ISC. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Microsoft Office 2010: za rok koniec wsparcia. Producent zaleca zmienić pakiet biurowy 15 paź 2019 Oskar Ziomek Oprogramowanie Biznes Bezpieczeństwo 216 Bug Bounty: oto jak działa polowanie na błędy 28 paź 2019 Kamil J. Dudek Oprogramowanie Bezpieczeństwo IT.Pro 44 Ignite 2019: Microsoft Defender ATP będzie dostępny dla Linuxa w 2020 5 lis 2019 Anna Rymsza Oprogramowanie Internet 57 Microsoft z dwoma nowymi klawiszami na swych klawiaturach. Coś do pracy i coś do zabawy 11 paź 2019 Piotr Urbaniak Oprogramowanie Sprzęt 46
Udostępnij: O autorze Grzegorz Niemirowski Firmy antywirusowe ostrzegają przed nową dziurą w Wordzie, która jako pierwsza została wykorzystana do włamań w Chinach i Taiwanie a niedługo stanie się groźna w innych krajach. Użytkownicy otrzymują e-mail ze spreparowanym załącznikiem .doc, który po uruchomieniu dzięki obecności dziury w MS instaluje backdoora, który maskuje się w systemie korzystając z technik typowych dla rootkitów. Word w międzyczasie wykonuje nieprawidłową operację i oferuje ponowne otwarcie pliku. Co ciekawe po infekcji wirus tworzy dokument na nowo, już bez wirusa i Word otwiera już całkiem normalny plik. Jest to dodatkowy sposób na ukrycie się przez użytkownikiem i antywirusami. Następnie wysyła do chińskiego serwera informacje o zarażonym komputerze i oczekuje na polecenia. Wśród tych poleceń może znaleźć się otwieranie, zapisywanie i wyszukiwanie plików, dostęp do rejestru, uruchamianie i zatrzymywanie usług i innych procesów, wykonywanie zrzutów ekranu, pobieranie listy okien, tworzenie własnych okien, a także blokowanie, zamykanie i restartowanie Windows. Shellcode (kod maszynowy wykonywany przez program na skutek ataku) uruchamiany jest przez Word 2003 i 2002 (XP). W przypadku Worda 2000 co prawda następuje crash ale shellcode nie zostaje wykonany i wirus nie uaktywnia się. Microsoft został poinformowany o luce i pracuje nad poprawką. Jej wydanie jest planowane razem z innymi poprawkami czyli 13 czerwca. Użytkownicy powinni pamiętać, że wirusy mogą się rozprzestrzeniać nie tylko przez dziury w programach sieciowych albo po prostu pliki wykonywalne, ale też dokumenty, które otworzone w dziurawych programach mogą spowodować wykonanie szkodliwego kodu. Więcej informacji na ten temat znajduje się na stronie SANS ISC. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji