Poważna dziura w Microsoft Word

O autorze

Grzegorz Niemirowski

Firmy antywirusowe ostrzegają przed nową dziurą w Wordzie, która jako pierwsza została wykorzystana do włamań w Chinach i Taiwanie a niedługo stanie się groźna w innych krajach.

Użytkownicy otrzymują e-mail ze spreparowanym załącznikiem .doc, który po uruchomieniu dzięki obecności dziury w MS instaluje backdoora, który maskuje się w systemie korzystając z technik typowych dla rootkitów. Word w międzyczasie wykonuje nieprawidłową operację i oferuje ponowne otwarcie pliku. Co ciekawe po infekcji wirus tworzy dokument na nowo, już bez wirusa i Word otwiera już całkiem normalny plik. Jest to dodatkowy sposób na ukrycie się przez użytkownikiem i antywirusami. Następnie wysyła do chińskiego serwera informacje o zarażonym komputerze i oczekuje na polecenia. Wśród tych poleceń może znaleźć się otwieranie, zapisywanie i wyszukiwanie plików, dostęp do rejestru, uruchamianie i zatrzymywanie usług i innych procesów, wykonywanie zrzutów ekranu, pobieranie listy okien, tworzenie własnych okien, a także blokowanie, zamykanie i restartowanie Windows. Shellcode (kod maszynowy wykonywany przez program na skutek ataku) uruchamiany jest przez Word 2003 i 2002 (XP). W przypadku Worda 2000 co prawda następuje crash ale shellcode nie zostaje wykonany i wirus nie uaktywnia się. Microsoft został poinformowany o luce i pracuje nad poprawką. Jej wydanie jest planowane razem z innymi poprawkami czyli 13 czerwca.

Użytkownicy powinni pamiętać, że wirusy mogą się rozprzestrzeniać nie tylko przez dziury w programach sieciowych albo po prostu pliki wykonywalne, ale też dokumenty, które otworzone w dziurawych programach mogą spowodować wykonanie szkodliwego kodu.

Więcej informacji na ten temat znajduje się na stronie SANS ISC.