Alvorlig Word-sårbarhet utnyttes aktivt

Et nytt sikkerhetshull i Microsoft Word utnyttes allerede av en e-postdistribuert trojaner.

Flere sikkerhetsselskaper, blant annet Secunia og CSIS, melder om en sårbarhet i Word XP og nyere som allerede utnyttes av en ny trojaner.

Ifølge CSIS, fungerer det hele som følger:

Sårbarheten utløses når en uforsiktig bruker åpner et spesielt utformet Word-dokument. Når dokumentet åpnes, vil Microsoft Word lukkes med en melding om en kritisk feil. Denne meldingen indikerer en overflytsfeil i en buffer. Innholdet i dokumentet vises ikke i Word før programmet har krasjet. Dokumentet kan derfor se ut til å være tomt.

Men i bakgrunnen, uten at brukeren oppdager det, slippes det kode til systemet. Den ondsinnede koden er en bot-variant som gjør en angriper i stand til å kontrollere PC-er i en Command & Control-nettverk (C&C). PC-en er dermed blitt en zombie.

Ifølge CSSIS oppstår feilen i Word når tabellet av typen Excel og Powerpoint integreres i dokumentet med spesielle verdier og makrolengder. På grunn av utilstrekkelig validering av innholdet, vil Word utløse en feil som gir plass i hukommelsen til kjøring av shellkode.

Et infisert system vil "ringe hjem" til en ekstern server via HTTP. CSIS anbefaler derfor at domenet "localhost.3322.org" eller IP-adressen 61.177.95.125 blokkeres i brannmurer. Serveren befinner seg ifølge CSIS i Kina. Den samme serveren skal også tidligere ha blitt misbrukt i forbindelse med målrettede angrep mot utvalgte mål.

Flere detaljer om trojaneren og sårbarheten finnes her.

Microsoft Security Response Center har publisert flere bloggartikler om sårbarheten, og det loves at en sikkerhetsfiks senest vil bli utgitt i forbindelse med selskapets vanlige patchetirsdag i neste måned, den 13. juni.

De fleste antivirusløsninger skal nå være i stand til å fange opp trojaneren, som blant annet kalles Backdoor.Ginwui og Trojan.Mdropper.H.

Til toppen