Vulnerabilidade de Execução de Código no Microsoft Excel

SecurityFocus-BID18422

[CAIS, 19.06.2006-16:19, revisão 01]

O CAIS está repassando o alerta da SecurityFocus, intitulado "Microsoft Excel Unspecified Remote Code Execution Vulnerability", que trata de uma vulnerabilidade crítica recém-descoberta no Microsoft Excel.

Através de uma planilha Excel especialmente construída, um atacante pode executar código arbitrário em uma máquina vulnerável com os direitos do usuário que abrir o arquivo em questão. A vulnerabilidade existe na forma que o Excel trata URL's muito longas dentro dos seus próprios arquivos de dados.

O CAIS realizou testes com os exploits já divulgados na internet para esta vulnerabilidade em um ambiente controlado, e comprovou o funcionamento da vulnerabilidade em questão. O CAIS realizou ainda testes com antivírus de fabricantes diversos, e nenhum deles foi capaz de detectar o arquivo malicioso utilizado nos testes.

É importante ressaltar que a vulnerabilidade em questão está sendo explorada atualmente, e que ainda não existe uma correção disponibilizada pelo fabricante. O CAIS verificou que já existem worms, trojans e downloaders (programas que baixam vários malwares) explorando esta vulnerabilidade. Abaixo segue uma lista de malwares que já exploram esta vulnerabilidade em especifico:

Downloader.Booli.A
Trojan.Mdropper.J
Downloader-AWV
EXPLOIT-MSEXCEL.GEN
TROJ_SMALL.AWC
TROJ_EMBED.AN . Troj/DwnLdr-DEL
Trojan-Downloader.Win32.Agent.alq

O US-CERT reportou que, em muitos casos o Excel é capaz de abrir um documento, mesmo que este possua uma extensão desconhecida. Este comportamento pode permitir que filtros de extensão sejam burlados e que arquivos Excel sejam escondidos no sistema.

Sistemas afetados:

Microsoft Excel x for Mac 0
Microsoft Excel Viewer 2003 0
Microsoft Excel 2004 for Mac 0
Microsoft Excel 2003 SP1
Microsoft Excel 2003
Microsoft Excel 2002 SP3
Microsoft Excel 2002 SP2
Microsoft Excel 2002 SP1
Microsoft Excel 2002
Microsoft Excel 2000 SR1
Microsoft Excel 2000 SP3
Microsoft Excel 2000 SP2
Microsoft Excel 2000

Formas de mitigação:

As seguintes ações podem ser tomadas para evitar e reduzir o impacto da vulnerabilidade em questão:

Nunca abrir documentos do Excel provenientes de fontes não confiáveis.
A Symantec informa que o Trojan.Mdropper.J se propaga através de um e-mail contendo um arquivo Excel de nome okN.xls. Arquivos com este nome em anexos de e-mail podem indicar presença de malware, apesar de não garantir que anexos com outros nomes também não sejam maliciosos.
Manter sempre o Antivírus atualizado. Assinaturas para este tipo de ataque devem estar disponíveis em breve.
O Microsoft Security Response Center informa que o Windows Live Security Center foi atualizado para detectar este tipo de ataque. A URL de acesso ao Security Center pode ser encontrada na seção "Mais Informações" deste alerta.

Correções disponíveis:

Recomenda-se fazer a atualização para as versões disponíveis em:

Ainda não existem correções disponibilizadas pelo fabricante para a vulnerabilidade em questão.

Mais informações:

Identificador CVE (http://cve.mitre.org): CVE-2006-3059

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

O CAIS Alerta também é oferecido no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais