e poi attento a questo con word
Microsoft ha confermato l'esistenza di una nuova falla di sicurezza zero-day non documentata nel suo programma di word processing
Word 2000, che sta venendo in questi giorni sfruttata dai cybercriminali per condurre attacchi verso le macchine vulnerabili ed installare dei Trojan back-door nei sistemi colpiti. La conferma di Microsoft arriva due giorni dopo l'alert di Symantec che aveva per prima isolato in-the-wild alcuni nuovi codici Trojan che attaccavano le macchine con sistemi Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003 e Windows XP sfruttando un nuovo buco di sicurezza nell'applicazione Word.
Secondo un portavoce di Microsoft il team security response dell'azienda ha indagato sul report e ha concluso che l'attacco è limitato agli utenti di Word 2000. "[Siamo a conoscenza] di uno scenario di attacco che coinvolge malware noti come Win32/Wordjmp e Win32/Mofeir", commenta il portavoce del colosso aggiungendo che gli aggiornamenti di definizione antivirus per rilevare e rimuovere questi codici sono stati già integrati in Windows Live OneCare safety scanner, il tool antimalware online gratuito di Microsoft. Si attende nelle prossime ore un commento ufficiale sul nuovo problema di sicurezza dal Blog ufficiale del team MSRC (Microsoft Security Response Center).
Nel frattempo Secunia, nota azienda si security monitoring, ha classificato la falla come "estremamente critica", il livello più alto di pericolosità usato nel suo sistema di rating. Nell'advisory dedicato l'azienda consiglia a tutti gli utenti di Word di evitare di aprire documenti provenienti da fonti non fidate. Il team di ricerca di FrSIRT ha descritto il bug come un "errore di corruzione della memoria che si verifica quando Word 2000 si trova a gestire documenti malformati". Nel suo advisory dedicato al problema FrSIRT afferma: "[Questo bug] potrebbe essere sfruttato da attacker per eseguire comandi arbitrari dopo aver indotto un utente ad aprire un documento Word preparato ad arte". I ricercatori antivirus di Symantec avevano intercettato un attacco "doppio" che include l'uso di un Trojan dropper e di un worm back-door. Il dropper, identificato come Trojan.Mdropper.Q, viene usato per installare due codici malware, clipbook.exe e clipbook.dll, sul sistema infettato. I due file contengono una variante del malware Backdoor.Femo, un Trojan horse con capacità di process injection. La backdoor si mette in ascolto, in attesa di comandi dall'attacker remoto, e può essere sfruttata per accedere alla shell dei comandi di Windows, per eseguire file, eliminare o creare file e cartelle, o per scaricare dalla rete sulla macchina ulteriori codici, eventualmente nocivi.
Perché l'attacco venga portato a termine con successo, i documenti che integrano il codice exploit, devono essere aperti con una copia vulnerabile di Microsoft Word 2000. Questo rende la vulnerabilità non compatibile con un più pericoloso scenario di attacco tramite self-replicating network worm. Ad ogni modo fino a quando Microsoft non realizzerà una patch per il problema, Symantec consiglia a tutti gli utenti del software affetto di seguire le linee guida di sicurezza prestando estrema attenzione alla ricezione di messaggi di posta elettronica non richiesti che contengono in allegato documenti Office.
Nei mesi recenti è stata scoperta una lunga serie di vulnerabilità nelle applicazioni che compongono la suite per l'ufficio del colosso di Redmond. In risposta c'è stata una grande attività malware associata alle varie falle, alcune delle quali interessavano anche l'ultima versione Microsoft Office 2003, nelle componenti Word, PowerPoint e Excel. Nel 2005, Microsoft ha rilasciato solo 5 patch per correggere altrettante falle in varie versioni di Office. In questi primi otto mesi del 2006, il numero di patch per i prodotti della suite è già salito a 24. Le vulnerabilità in Microsoft Office offrono una piattaforma ottimale per gli attacchi di social engineering ed e-mail. Infatti, un gran numero di imprese, grandi e piccole, e clienti continuano a condividere e scambiare informazioni tramite questo tipo di documenti che non viene bloccato dalla maggior parte delle soluzioni antivirus e firewall, e per questo motivo diventa un ottimo veicolo per nascondere codice malizioso eseguibile.
fonte:tweakness.net
:
:
....c'è da aspettarsi di tutto....
).