Ny Excel-sårbarhet utnyttes aktivt

Microsoft har bekreftet at en sårbarhet i Excel indirekte kan utnyttes til å kjøre vilkårlig kode.

Det danske sikkerhetsselskapet CSIS melder at det fra flere uavhengige kilder har mottatt eksempler som bekrefter at en sårbarhet aktivt utnyttes i Microsofts regnearkprogram, Excel. Sårbarhetene skal minne en del om en alvorlig sikkerhetshull som i mai ble oppdaget i Word, og som ble tettet i en sikkerhetsoppdatering Microsoft har gitt ut denne uken.

    Les også:

Sårbarheten, som ennå ikke er blitt analysert ferdig, skal allerede utnyttes aktivt av en spesielt utformet regnearkfil som sendes som vedlegg til e-post. Regnearket inkluderer angrepskode som vil kjøres hvis brukeren er litt uforsiktig. Den vedlagte Excel-filen har i tilfellene som til nå er blitt dokumentert, hatt navnet "okN.xls".

Når denne filen åpnes, oppstår en overflytsfeil i en buffer i Excel som gjør det mulig å kjøre shellkode. Denne koden plassere filen "svc.exe" i systemmappen til Windows og tvinger deretter Excel til å lukke.

"svc.exe" starter samtidig nedlasting av mer kode fra en maskin med IP-adressen "210. 6.90.153". Denne maskinen hører trolig hjemme i Hong Kong.

For øyeblikket skal ikke filen som "svc.exe" forsøker å nedlaste ned, være tilgjengelig. Blir den tilgjengelig, vil den ifølge CSIS lastes ned som c:\temp.exe og kjøres av "svc.exe".

CSIS anbefaler at man blokkerer tilgangen til den aktuelle IP-adressen i brannmurer. Ytterligere informasjon fra selskapets finnes på denne siden. Microsoft har bekreftet eksistensen av sårbarheten her.

Til toppen