Microsoft Excel sotto tiro: exploit in liberauscita.

Scritto da Guido Sintoni.

Dopo quello per Acrobat (per il quale Adobe ha promesso una correzione entro l'11 marzo, e che pu essere arginato con una patch non ufficiale , ovviamente a rischio e pericolo di chi decide di installarla), arriva uno zero-day exploit per Microsoft Excel.

La scoperta  dovuta a Symantec, e il problema riguarda pressoch tutte le versioni del software di Big M incluse nella suite Office: sono a rischio Office 2000, 2002, 2003 e 2007 per Windows, nonch Office 2004 e 2008 for Mac. Non  cosa da poco: la vulnerabilit pu essere sfruttata per prendere pieno controllo da remoto di una macchina, ed  dovuta a un'errata gestione della memoria. In altri termini, si tratta di un buffer overflow che, nell'analisi di Secunia, viene definito " estremamente critico ".

Per Symantec, i primi attacchi si sono verificati in Giappone; il codice maligno - di fatto, un file infetto -  stato chiamato Trojan.Mdropper.AC . Ad esso, l'azienda di Cupertino dedica un esauriente post nel proprio blog. "La vulnerabilit riguarda il vecchio formato binario Excel .xls e non il nuovo formato .xlsx [.] L'apertura di un file maligno serve a sfruttare la vulnerabilit. Una volta innescato, l'exploit deposita sul sistema due file - un eseguibile maligno e un altro documentoExcel valido: lo

shellcode esegue poi i file depositati e apre il documento Excel valido per mascherare il crash causato all'applicazione". Ricapitolando, lo schema d'attacco  convenzionale e segue una via ben precisa: file maligno, crash dell'applicazione dovuta alla rottura di segmenti di memoria vulnerabili, esecuzione di una shell, lancio di comandi arbitrari, tentativo di mascherarel'accaduto.

Stupisce per certi versi la valutazione qualitativa del rischio attribuita all'attacco da Symantec: "molto bassa". Il che, letto tra le righe, significa che l'exploit c',  attivo, ma ancora ridotto nella portata e di facile rimozione. Microsoft, in ogni caso, si  gi attivata con un bollettino su Technet : viene riconosciuta la natura del problema, sottolineati quattro potenziali fattori mitiganti, senza tuttavia sbilanciarsi n sulle modalit (la correzione nel prossimo Patch Tuesday sembra essere la soluzione pi plausibile, visto che cadr tra un paio di settimane) n sullatempistica.

Fino ad allora - o meglio, fino a quando verr fornita una soluzione al problema - vale la regola, empirica ma sensata, di non aprire allegati provenienti da utenti non fidati. E, naturalmente, contare su un antivirusaggiornato.
Guido Sintoni.


