Poważna dziura w Microsoft Word Strona główna Aktualności20.05.2006 02:13 Udostępnij: O autorze Grzegorz Niemirowski Firmy antywirusowe ostrzegają przed nową dziurą w Wordzie, która jako pierwsza została wykorzystana do włamań w Chinach i Taiwanie a niedługo stanie się groźna w innych krajach. Użytkownicy otrzymują e-mail ze spreparowanym załącznikiem .doc, który po uruchomieniu dzięki obecności dziury w MS instaluje backdoora, który maskuje się w systemie korzystając z technik typowych dla rootkitów. Word w międzyczasie wykonuje nieprawidłową operację i oferuje ponowne otwarcie pliku. Co ciekawe po infekcji wirus tworzy dokument na nowo, już bez wirusa i Word otwiera już całkiem normalny plik. Jest to dodatkowy sposób na ukrycie się przez użytkownikiem i antywirusami. Następnie wysyła do chińskiego serwera informacje o zarażonym komputerze i oczekuje na polecenia. Wśród tych poleceń może znaleźć się otwieranie, zapisywanie i wyszukiwanie plików, dostęp do rejestru, uruchamianie i zatrzymywanie usług i innych procesów, wykonywanie zrzutów ekranu, pobieranie listy okien, tworzenie własnych okien, a także blokowanie, zamykanie i restartowanie Windows. Shellcode (kod maszynowy wykonywany przez program na skutek ataku) uruchamiany jest przez Word 2003 i 2002 (XP). W przypadku Worda 2000 co prawda następuje crash ale shellcode nie zostaje wykonany i wirus nie uaktywnia się. Microsoft został poinformowany o luce i pracuje nad poprawką. Jej wydanie jest planowane razem z innymi poprawkami czyli 13 czerwca. Użytkownicy powinni pamiętać, że wirusy mogą się rozprzestrzeniać nie tylko przez dziury w programach sieciowych albo po prostu pliki wykonywalne, ale też dokumenty, które otworzone w dziurawych programach mogą spowodować wykonanie szkodliwego kodu. Więcej informacji na ten temat znajduje się na stronie SANS ISC. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Nowe ikony w Office tylko dla wybranych aplikacji. Rozwój pozostałych stoi w miejscu? 3 gru 2018 Kamil J. Dudek Oprogramowanie 58 Logowanie do Windowsa 10 jak autoryzacja przelewu – hasło stanie się zbędne 22 gru 2018 Piotr Urbaniak Oprogramowanie Bezpieczeństwo 43 Windows 10 już bez problemów z iCloud. Firmie Apple udało się usunąć poważny błąd 28 lis 2018 Mateusz Budzeń Oprogramowanie 29 Office 365 otrzymał ciemny motyw. Ważna aktualizacja dostępna już na macOS 12 gru 2018 Mateusz Budzeń Oprogramowanie 17
Udostępnij: O autorze Grzegorz Niemirowski Firmy antywirusowe ostrzegają przed nową dziurą w Wordzie, która jako pierwsza została wykorzystana do włamań w Chinach i Taiwanie a niedługo stanie się groźna w innych krajach. Użytkownicy otrzymują e-mail ze spreparowanym załącznikiem .doc, który po uruchomieniu dzięki obecności dziury w MS instaluje backdoora, który maskuje się w systemie korzystając z technik typowych dla rootkitów. Word w międzyczasie wykonuje nieprawidłową operację i oferuje ponowne otwarcie pliku. Co ciekawe po infekcji wirus tworzy dokument na nowo, już bez wirusa i Word otwiera już całkiem normalny plik. Jest to dodatkowy sposób na ukrycie się przez użytkownikiem i antywirusami. Następnie wysyła do chińskiego serwera informacje o zarażonym komputerze i oczekuje na polecenia. Wśród tych poleceń może znaleźć się otwieranie, zapisywanie i wyszukiwanie plików, dostęp do rejestru, uruchamianie i zatrzymywanie usług i innych procesów, wykonywanie zrzutów ekranu, pobieranie listy okien, tworzenie własnych okien, a także blokowanie, zamykanie i restartowanie Windows. Shellcode (kod maszynowy wykonywany przez program na skutek ataku) uruchamiany jest przez Word 2003 i 2002 (XP). W przypadku Worda 2000 co prawda następuje crash ale shellcode nie zostaje wykonany i wirus nie uaktywnia się. Microsoft został poinformowany o luce i pracuje nad poprawką. Jej wydanie jest planowane razem z innymi poprawkami czyli 13 czerwca. Użytkownicy powinni pamiętać, że wirusy mogą się rozprzestrzeniać nie tylko przez dziury w programach sieciowych albo po prostu pliki wykonywalne, ale też dokumenty, które otworzone w dziurawych programach mogą spowodować wykonanie szkodliwego kodu. Więcej informacji na ten temat znajduje się na stronie SANS ISC. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji