Microsoft Excel sotto tiro: exploit in libera uscita.

Scritto da Guido Sintoni.

Dopo quello per Acrobat (per il quale Adobe ha promesso una correzione entro l‘11 marzo, e che può essere arginato con una patch non ufficiale , ovviamente a rischio e pericolo di chi decide di installarla), arriva uno zero-day exploit per Microsoft Excel.

La scoperta è dovuta a Symantec, e il problema riguarda pressoché tutte le versioni del software di Big M incluse nella suite Office: sono a rischio Office 2000, 2002, 2003 e 2007 per Windows, nonché Office 2004 e 2008 for Mac. Non è cosa da poco: la vulnerabilità può essere sfruttata per prendere pieno controllo da remoto di una macchina, ed è dovuta a un’errata gestione della memoria. In altri termini, si tratta di un buffer overflow che, nell’analisi di Secunia, viene definito “ estremamente critico “.

Per Symantec, i primi attacchi si sono verificati in Giappone; il codice maligno - di fatto, un file infetto - è stato chiamato Trojan.Mdropper.AC . Ad esso, l’azienda di Cupertino dedica un esauriente post nel proprio blog. “La vulnerabilità riguarda il vecchio formato binario Excel .xls e non il nuovo formato .xlsx […] L’apertura di un file maligno serve a sfruttare la vulnerabilità. Una volta innescato, l’exploit deposita sul sistema due file - un eseguibile maligno e un altro documentoExcel valido: lo

shellcode esegue poi i file depositati e apre il documento Excel valido per mascherare il crash causato all’applicazione”. Ricapitolando, lo schema d’attacco è convenzionale e segue una via ben precisa: file maligno, crash dell’applicazione dovuta alla rottura di segmenti di memoria vulnerabili, esecuzione di una shell, lancio di comandi arbitrari, tentativo di mascherare l’accaduto.

Stupisce per certi versi la valutazione qualitativa del rischio attribuita all’attacco da Symantec: “molto bassa”. Il che, letto tra le righe, significa che l’exploit c’è, è attivo, ma ancora ridotto nella portata e di facile rimozione. Microsoft, in ogni caso, si è già attivata con un bollettino su Technet : viene riconosciuta la natura del problema, sottolineati quattro potenziali fattori mitiganti, senza tuttavia sbilanciarsi né sulle modalità (la correzione nel prossimo Patch Tuesday sembra essere la soluzione più plausibile, visto che cadrà tra un paio di settimane) né sulla tempistica.

Fino ad allora - o meglio, fino a quando verrà fornita una soluzione al problema - vale la regola, empirica ma sensata, di non aprire allegati provenienti da utenti non fidati. E, naturalmente, contare su un antivirus aggiornato. Guido Sintoni.