БЕЗОПАСНОСТЬ
Microsoft предупреждает пользователей о наличии неисправленной ошибки
Действующий в Microsoft центр реагирования на угрозы безопасности (Microsoft Security Response Center) рекомендует блокировать на периметре сети файлы таблицы Excel, отправленные по электронной почте в виде сообщения. Это поможет отразить атаки, целенаправленно использующие пока еще не устраненную ошибку в данной программе.
19 июня Microsoft опубликовала рекомендации, которыми надлежит руководствоваться до выпуска "заплатки". Они содержат перечень временных мер, которые включают блокирование файлов Excel с помощью шлюза электронной почты. Ошибка в Excel, использованная для атаки на неназванную фирму, была замечена 15 июня. Microsoft подтвердила ее наличие на следующий день.
Файлы программы Excel имеют расширения .xls, .xlt, .xla, .xlm, .xlc, .xlw, .uxdc, .csv, .iqy, .dqy, .rqy, .oqy, .xll, .xlb, .slk, .dif, .xlk, .xld, .xlshtml, .xlthtml и .xlv.
Нынешняя атака напоминает ту, в ходе которой нападению подверглись пользователи Microsoft Word. Это заставляет экспертов в области безопасности подозревать непосредственную связь между их организаторами.
Атака с использованием уязвимости Excel включает программу типа "троянский конь" под названием Trojan.Mdropper.J, пересылаемую в виде таблицы Excel в файле с именем okN.xls. После запуска "троянец" использует ошибку в Excel для загрузки и исполнения другой вредоносной программы -- Downloader.Booli.A, после чего спокойно закрывает Excel.
Downloader.Booli.A пытается запустить Internet Explorer и вставляет свой код в браузер, чтобы обойти межсетевые экраны. Затем программа соединяется с находящимся в Гонконге веб-сайтом и загружает еще один файл, о котором пока ничего не известно.
Электронные таблицы порождают хаос
Хакеры целенаправленно используют неисправленную ошибку Microsoft Excel. Каковы масштабы угрозы? - Уязвимыми программами являются Excel 2003, Excel Viewer 2003, Excel 2002, Excel 2000, Excel 2004 for Mac и Excel vX for Mac. Что порождает уязвимость? - Ошибка обращения к памяти в Excel, когда программа переходит в режим исправления таблиц. Как атакующий может использовать эту брешь? - Хакеры могут направлять по электронной почте или загружать на компьютер-жертву с вредоносного веб-сайта фальсифицированные файлы Excel; в обоих случаях им необходимо заставить получателя открыть файл Excel. Рекомендуемые обходные пути - В Excel 2003 следует запретить использование режима восстановления таблиц, изменив права доступа в ключе реестра Excel Resiliency; на почтовом шлюзе рекомендуется заблокировать получение любых файлов Excel; не следует открывать и сохранять файлы Excel, полученные из ненадежных источников. Источник: Microsoft Security Response Center. |
В своих последних рекомендациях Microsoft подтвердила, что уязвимость обнаружена в программах Excel 2003, Excel Viewer 2003, Excel 2002, Excel 2000, Excel 2004 for Mac и Excel vX for Mac. Пользователи Excel 2000 подвергаются наибольшему риску, поскольку при открытии документа эта версия не предоставляет выбора между открытием документа, его сохранением или отказом от действий. Другие версии, как сообщила Microsoft, выдают предупреждение, прежде чем файл будет открыт. Компания утверждает, что пользователь подвергается риску только в том случае, если откроет вредоносный файл Excel, прикрепленный к сообщению электронной почты или иным образом загруженный на его компьютер атакующей стороной.
Уязвимость классифицируется как "ошибка обращения к памяти", которая возникает в Excel, когда программа переходит в режим восстановления таблиц. Поэтому Microsoft рекомендует компаниям, использующим Excel 2003, заблокировать этот режим, изменив права доступа (Access Control List, ACL) в ключе реестра Excel Resiliency.
Подробные инструкции можно найти в рекомендациях Microsoft по адресу: www.microsoft.com/technet/security/advisory/921365.mspx.