Word: Nuova Falla 0-Day "RCE"
Security Advisory 933052McAfee Avert Labs BlogCVE-2007-0870
A soli due giorni dal rilascio di due bollettini di sicurezza con relative patch a correzioni di 8 vulnerabilità zero-day nelle sue applicazioni Office, Microsoft ha pubblicato un nuovo Security Advisory (933052) per avvertire di clienti riguardo nuove segnalazioni pubbliche relative ad attacchi "molto limitati e mirati" che utilizzano una ennesima vulnerabilità di esecuzione codice in Microsoft Word con Office 2000 e Office XP.
Patch Day Febbraio 2007 - Word: 0-Day, Novità e Filmato
Si tratta di falla già segnalata da McAfee Avert Labs una settimana fa (CVE-2007-0870) che inizialmente sembrava interessare solo Word 2000 e che il colosso di Redmond aveva verificato come limitata ad un attacco Denial of Service. Una successiva e approfondita analisi effettuata da McAfee ha svelato che l'exploit di questo problema di sicurezza (inizialmente classificato come variante del codice Exploit-MS06-027) può invece essere sfruttato per eseguire codice da remoto su un sistema vulnerabile. Questa analisi è stata confermata da Microsoft che ha pubblicato immediatamente il nuovo Security Advisory. Il codice exploit per la falla può colpire a quanto pare anche Word XP, tuttavia, afferma Microsoft, la tecnica di attacco è tutt'altro che facile.
Dal Security Advisory 933052: "Per sferrare l'attacco, è necessario che un utente apra un file Office dannoso allegato a un messaggio di posta elettronica o altrimenti fornito da un utente malintenzionato. È buona norma essere molto cauti nell'aprire allegati non richiesti o di dubbia provenienza. Microsoft ha aggiunto informazioni sul rilevamento nel Windows Live OneCare Safety Scanner per la rimozione di malware che tentano di sfruttare questa vulnerabilità. Microsoft inoltre intende condividere le informazioni in suo possesso con i partner Microsoft Security Response Alliance in modo da poter rilevare e risolvere più prontamente eventuali attacchi. Se si ritiene di essere interessati da questo problema e si desidera usufruire dei servizi del supporto tecnico, visitare il sito del Servizio Supporto Tecnico Clienti Microsoft. Le chiamate al supporto tecnico relative agli aggiornamenti per la protezione sono gratuite. Una volta completate le ricerche, Microsoft intraprenderà l'azione appropriata per la protezione dei clienti. In base alle esigenze dei clienti, potrebbe essere necessario distribuire un aggiornamento per la protezione tramite il processo di rilascio mensile oppure un aggiornamento per la protezione integrativo".
Microsoft evidenzia che vulnerabilità non può essere sfruttata in Office 2007, Office 2003 o Word 2003 Viewer. Inoltre in uno scenario di attacco un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. Infine, non è possibile sfruttare la vulnerabilità automaticamente per posta elettronica. L'attacco è possibile solo se l'utente apre un allegato a un messaggio di posta elettronica. Agli utenti che hanno installato e utilizzano lo strumento Richiesta di conferma all'apertura dei documenti per Office 2000 verrà richiesto di scegliere Apri, Salva o Annulla prima di aprire un documento.
Microsoft non ha rilasciato workaround particolari e si limita a raccomandare ai clienti di non aprire o salvare file Office provenienti da fonti non attendibili o ricevuti inaspettatamente da fonti attendibili.
Nell'ambito del Patch Day di due giorni fa, Microsoft ha rilasciato ben 12 bollettini di sicurezza per correggere 20 falle nei suoi software (7 bug zero-day di cui 5 relativi a Microsoft Office). Con i due aggiornamenti di protezione per la suite Office, Microsoft aveva corretto finalmente una serie di vulnerabilità di esecuzione codice che stavano venendo sfruttate in attacchi zero-day. Microsoft Word è stato preso di mira nelle scorse settimane da almeno quattro diversi attacchi zero-day legati a vulnerabilità nel codice software, corrette ora con [MS07-014] (in tutto 6 diverse falle). Recentemente inoltre sono emerse segnalazioni relative ad attacchi "zero-day" che utilizzano una vulnerabilità in Microsoft Office, sfruttata prevalentemente via Excel (CVE-2007-0671), ora corretta con [MS07-015] (include anche un fix per PowerPoint - CVE-2006-3877