Poważna dziura w Microsoft Word Strona główna Aktualności20.05.2006 02:13 Udostępnij: O autorze Grzegorz Niemirowski Firmy antywirusowe ostrzegają przed nową dziurą w Wordzie, która jako pierwsza została wykorzystana do włamań w Chinach i Taiwanie a niedługo stanie się groźna w innych krajach. Użytkownicy otrzymują e-mail ze spreparowanym załącznikiem .doc, który po uruchomieniu dzięki obecności dziury w MS instaluje backdoora, który maskuje się w systemie korzystając z technik typowych dla rootkitów. Word w międzyczasie wykonuje nieprawidłową operację i oferuje ponowne otwarcie pliku. Co ciekawe po infekcji wirus tworzy dokument na nowo, już bez wirusa i Word otwiera już całkiem normalny plik. Jest to dodatkowy sposób na ukrycie się przez użytkownikiem i antywirusami. Następnie wysyła do chińskiego serwera informacje o zarażonym komputerze i oczekuje na polecenia. Wśród tych poleceń może znaleźć się otwieranie, zapisywanie i wyszukiwanie plików, dostęp do rejestru, uruchamianie i zatrzymywanie usług i innych procesów, wykonywanie zrzutów ekranu, pobieranie listy okien, tworzenie własnych okien, a także blokowanie, zamykanie i restartowanie Windows. Shellcode (kod maszynowy wykonywany przez program na skutek ataku) uruchamiany jest przez Word 2003 i 2002 (XP). W przypadku Worda 2000 co prawda następuje crash ale shellcode nie zostaje wykonany i wirus nie uaktywnia się. Microsoft został poinformowany o luce i pracuje nad poprawką. Jej wydanie jest planowane razem z innymi poprawkami czyli 13 czerwca. Użytkownicy powinni pamiętać, że wirusy mogą się rozprzestrzeniać nie tylko przez dziury w programach sieciowych albo po prostu pliki wykonywalne, ale też dokumenty, które otworzone w dziurawych programach mogą spowodować wykonanie szkodliwego kodu. Więcej informacji na ten temat znajduje się na stronie SANS ISC. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Microsoft Office z szeregiem nowych poprawek – na razie tylko dla testerów 8 lip 2019 Oskar Ziomek Oprogramowanie 29 Windows XP naprawdę dalej dostaje aktualizacje. Po prostu ich nie widać 16 cze 2019 Kamil J. Dudek Oprogramowanie 109 Luka w Power Query Excela naraża nawet 120 mln użytkowników 1 lip 2019 Anna Rymsza Oprogramowanie Bezpieczeństwo 29 Intel NetCAT. Kolejna dziura w procesorach niebieskich odkryta 12 wrz 2019 Piotr Urbaniak Sprzęt Bezpieczeństwo 44
Udostępnij: O autorze Grzegorz Niemirowski Firmy antywirusowe ostrzegają przed nową dziurą w Wordzie, która jako pierwsza została wykorzystana do włamań w Chinach i Taiwanie a niedługo stanie się groźna w innych krajach. Użytkownicy otrzymują e-mail ze spreparowanym załącznikiem .doc, który po uruchomieniu dzięki obecności dziury w MS instaluje backdoora, który maskuje się w systemie korzystając z technik typowych dla rootkitów. Word w międzyczasie wykonuje nieprawidłową operację i oferuje ponowne otwarcie pliku. Co ciekawe po infekcji wirus tworzy dokument na nowo, już bez wirusa i Word otwiera już całkiem normalny plik. Jest to dodatkowy sposób na ukrycie się przez użytkownikiem i antywirusami. Następnie wysyła do chińskiego serwera informacje o zarażonym komputerze i oczekuje na polecenia. Wśród tych poleceń może znaleźć się otwieranie, zapisywanie i wyszukiwanie plików, dostęp do rejestru, uruchamianie i zatrzymywanie usług i innych procesów, wykonywanie zrzutów ekranu, pobieranie listy okien, tworzenie własnych okien, a także blokowanie, zamykanie i restartowanie Windows. Shellcode (kod maszynowy wykonywany przez program na skutek ataku) uruchamiany jest przez Word 2003 i 2002 (XP). W przypadku Worda 2000 co prawda następuje crash ale shellcode nie zostaje wykonany i wirus nie uaktywnia się. Microsoft został poinformowany o luce i pracuje nad poprawką. Jej wydanie jest planowane razem z innymi poprawkami czyli 13 czerwca. Użytkownicy powinni pamiętać, że wirusy mogą się rozprzestrzeniać nie tylko przez dziury w programach sieciowych albo po prostu pliki wykonywalne, ale też dokumenty, które otworzone w dziurawych programach mogą spowodować wykonanie szkodliwego kodu. Więcej informacji na ten temat znajduje się na stronie SANS ISC. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji