Дыра в Word позволяет захватить контроль над ПК

»Atom1c« · 9 Dec 2006

В текстовом редакторе Microsoft Word обнаружена очередная опасная уязвимость, которая теоретически может использоваться злоумышленниками с целью получения несанкционированного доступа к удаленному компьютеру.

Проблема связана с ошибкой, возникающей в редакторе при обработке составленных специальным образом документов. Для реализации нападения злоумышленнику нужно вынудить жертву открыть в уязвимом приложении вредоносный файл, который, например, может быть размещен на веб-странице в интернете или прислан пользователю по электронной почте. При попытке просмотра документа в Word возникает ошибка, провоцирующая дальнейшее выполнение произвольного программного кода. В результате, атакующий получает возможность захватить полный контроль над системой.

Брешь присутствует в редакторах Word 2000/2002/2003, приложении Word Viewer 2003, версии Word 2004 для операционной системы Apple Mac OS, а также в пакетах Microsoft Works 2004/2005/2006. Заплатки для уязвимости в настоящее время не существует.

В корпорации Microsoft занимаются изучением проблемы, однако о сроках появления соответствующего патча пока ничего не известно. В качестве временной защитной меры пользователям предлагается не открывать и не сохранять документы Word, полученные из сомнительных источников.

Примечательно, что три месяца назад в редакторе Word была выявлена похожая брешь. Причем практически сразу в интернете появился троян, эксплуатирующий уязвимость. Не исключено, что и на этот раз злоумышленники постараются воспользоваться фактом отсутствия заплатки для дыры и начнут распространение нового вредоносного ПО.

inattack.ru

+toxa+ · 9 Dec 2006

http://www.securitylab.ru/vulnerability/281051.php

Code:

Повреждение памяти в Microsoft Word

07 декабря, 2006
Программа:
Microsoft Works Suite 2006
Microsoft Works Suite 2005
Microsoft Works Suite 2004
Microsoft Word 2003 Viewer
Microsoft Word 2003
Microsoft Word 2002
Microsoft Word 2000
Microsoft Office X for Mac
Microsoft Office 2004 for Mac
Microsoft Office 2003 Student and Teacher Edition
Microsoft Office 2003 Standard Edition
Microsoft Office 2003 Small Business Edition
Microsoft Office 2003 Professional Edition
Microsoft Office 2000
Microsoft Office XP

Опасность: Критическая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за неизвестной ошибки при обработке документов Microsoft Word. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.

URL производителя: www.microsoft.com

Решение: Способов устранения уязвимости не существует в настоящее время.

И.Г. · 9 Dec 2006

в локалках такое юзать надо...

Sn@k3 · 9 Dec 2006

ГЫГЫГЫГ там ваще посты взгляните на секюритилаб, все дружно оделались)
во как кинут видео как юзать, то точно пора думать о переходу в линух))

+toxa+ · 10 Dec 2006

омж.... у меня вообще не стоит ворд...

QesterF · 10 Dec 2006

OpenOffice - очень неплохое решение ) и весит меньше и мало чем ворду уступает, очень советую.

ToniKapuchon · 10 Dec 2006

Работаюий эксплойт к концу 2007 года появиться...

»Atom1c« · 10 Dec 2006

Я ваще вордом не пользуюсь почти никогдаТока блакнот++

DIAgen · 10 Dec 2006

Osap1ent* said:

Я ваще вордом не пользуюсь почти никогдаТока блакнот++
Click to expand...

Без ворда трудно обойтись когда ты учишься (курсовики, лабы и т.д).

Мягкосов снова ложанулся

cheet · 10 Dec 2006

Да... И как это сплоит интересно будет проходить через фаервол? даже тот встроеный который в Sp2 есть не говоря уже о других фаерах

MacTep · 10 Dec 2006

OpenOffice - вещь. Рекомендую всем!

.Slip · 10 Dec 2006

У меня нету ворда... Да и всего офиса... Только wordpad. Значит я неуязвим=)

-Concord- · 10 Dec 2006

OpenOffice - вещь. Рекомендую всем!
Click to expand...

Пробовал. вроде ничё но имхо всё таки ворд лучше.

Otaku · 11 Dec 2006

Правоспособность вспомнил

Федя · 11 Dec 2006

OpenOffice - Д Е Р Ь М О !!!
Хуже некуда!!!!

-=lebed=- · 11 Dec 2006

cheet said:

Да... И как это сплоит интересно будет проходить через фаервол? даже тот встроеный который в Sp2 есть не говоря уже о других фаерах
Click to expand...

Легко, инжектируясь в доверенные приложения...

Lesnoy_chelovek · 12 Dec 2006

Кому интересно продолжение истрии - http://blogs.securiteam.com/?p=759.
Потребуется знание английского.

-=lebed=- · 12 Dec 2006

Lesnoy_chelovek said:

Кому интересно продолжение истрии - http://blogs.securiteam.com/?p=759.
Потребуется знание английского.
Click to expand...

Вот тупо перевёл Промт`ом содержимое.

SecuriTeam Blogs

SecuriTeam Домой Blogs О Записи с нами

Microsoft Word 0-дневная страница популярных вопросов Уязвимости - декабрь 2006, CVE-2006-5994 [МОДИФИЦИРОВАННЫЙ]
Juha-Matti - 7 декабря 2006 на 22:44 | В Сети, Microsoft, Комментарии, Вирусная, Корпоративная Защита |

Это - документ Часто задаваемых вопросов о новой нулевой-дневной уязвимости в Microsoft Word. Документ описывает, связал троянский malwares также.

Q: Каков недавний Microsoft Word 0-дневная уязвимость, раскрытая в декабре?
A: Эта уязвимость вызвана неизвестной ошибкой при обработке уродливых документов Word. Проблема{выпуск} была раскрыта продавцом. Поздно 5-ого декабря Microsoft сообщил о нулевых-дневных нападениях типа, использующих неописанный, предварительно неизвестная уязвимость в изделиях{программах} Microsoft Word. Microsoft выпускал Консультацию Защиты, чтобы обеспечить уведомление о “публично раскрытой уязвимости”.
Q: Как упомянутая уязвимость работает?
A: Уязвимость - уязвимость типа выполнения кода. Нападавший, успешно эксплуатирующий эту уязвимость может выполнить код его или ее выбор в затронутой машине. Выполнение произвольного кода сделано с недавними привилегиями зарегистрированного пользователя.
Эта уязвимость вызвана из-за искажения памяти при обработке уродливой строки в документе Word. Это допускает выполняющемуся произвольному коду нападавшего.

Q: Когда эта уязвимость была найдена?
A: Консультация Защиты Microsoft была издана во вторник 5-ого декабря с минимальными техническими подробностями.
Q: Каков механизм в распространении?
A: Информация не была раскрыта, но почтовый метод - самые общие{обычные} пути, используемые в предыдущих целенаправленных Офисных нападениях в этом году.

Q: Какие версии Windows затрагивают?
A: Инсталляции Microsoft Word, используемые в Windows 95, Windows 98, Windows Меня, Windows NT, Windows 2000, Windows XP, и Windows 2003 системы Сервера по сообщениям затрагивают.

Q: Что версии Word затрагивают?
A: Сообщается, что Word 2003, Word 2002 (иначе Word XP) и Word 2000 затрагивают. Другие версии Word можно затронуть также, однако.

Дополнительно, Word 2004 для РТА{КОСТИ} Макинтоша и Word 2004 v. X для Макинтоша затрагиваются также.

Microsoft перечисляет Microsoft Word Средство просмотра 2003 и версии Работ Microsoft 2006, 2005, и 2004 как уязвимые изделия{программы} также.

Q: Офисная утилита средства просмотра - Word Средство просмотра - затронута также?
A: Да. Консультация защиты продавца перечисляет Word Средство просмотра 2003 как затронуто также. Версия 2003 - последний Word доступное Средство просмотра.
Q: Набор программ Работ Microsoft затрагивают также?
A: Столь же упомянутый, три последних версии Работ перечислены как затронуто, потому что они включают MS Word.
Q: Microsoft Word для Макинтоша (версии X и 2004) затронут в этой уязвимости?
A: Снова, версии Macintosh Word затрагивают.
Q: Я использую неанглийскую версию Microsoft Word. Меня затрагивают?
A: С 7-ого декабря невозможно сказать. Точная информация о затронутых версиях языка не доступна все же. Обычно Microsoft выпускает местоположения для всех версий языка Офисных изделий{программ}.
МОДИФИКАЦИЯ 9-ого декабря:
Согласно BID21451 Секеритифокаса (Секеритифокас - subsdiary Symantec Corp.), следующие версии Microsoft Word отдельно перечислены как затронуто:

- Кореец 2000 Microsoft Word Версия
- Японец 2000 Microsoft Word Версия
- Китаец 2000 Microsoft Word Версия

Возможно, что целевые организации целенаправленных нападений используют эти версии языка. Этот вход будет модифицирован, когда троянское описание writeup от Symantec доступно.

Рекомендуют избежать открывать документы Word из недоверяемых источников на Английском языке и неанглийских системах.

Q: Где должностное лицо документы Microsoft связано с этим расположенным случаем{регистром}?
A: Возможная наступающая информация уведомления, изданная Microsoft расположена в Центре Ответа Защиты Microsoft (MSRC) Blog сайт. Адрес этого сайта - blogs.technet.com/msrc/default.aspx. Официальная консультация защиты была издана в разделе Консультаций Защиты Microsoft Microsoft TechNet сайт Защиты, www.microsoft.com/technet/security/advisory/default.mspx.
Связь{Ссылка} к консультации *929433:
www.microsoft.com/technet/security/advisory/929433.mspx

ОБРАТИТЕ ВНИМАНИЕ: См., что вход страницы популярных вопросов, связанный с наступающей ежемесячной защитой обновляет{модифицирует} позже.

Q: Как я могу защитить от этой уязвимости?
A: Лучший совет должен избежать открывать документы Word из неизвестных источников и документов Word, полученных неожиданно из источников, которым доверяют.
Q: Код деяния имеет эту уязвимость, публично выпущенную?
A: Номер

Q: Есть ли файл выборки Типа порта захода судна этой публично доступной уязвимости?
A: Номер Некоторые антивирусные продавцы имеет злонамеренный .DOC файл для того, чтобы генерировать защиту против угрозы.
Q: Безопасно открыть любые .DOC файлы больше?
A: Очень важно не открыть файлы Word из неизвестных источников: электронная почта, Web-страницы, мгновенный посыльный и т.д.

Q: Там любые визуальные эффекты сообщают об инфекции?
A: Информация N/A.

Q: Там любые изменения{замены} к файловой системе, сделанной связанным malwares?
A: Номер Согласно недавнему знанию только изменяется на Системный реестр, были сделаны.
Когда связанный троянский Troj/DwnLdr-FXG активизирует это, введет код в процесс “Shell_TrayWnd” и будет пытаться загружать код от отдаленного сайта. Больше подробностей: www.sophos.com/virusinfo/analyses/trojdwnldrfxg.html
Другой Троянский конь Troj/DwnLdr-FXH, в свою очередь, копии самостоятельно к [Системе] \wdfmgr32.exe файл. Больше подробностей: www.sophos.com/virusinfo/analyses/trojdwnldrfxh.html

Q: Что названия{имена} malwares эксплуатируют эту уязвимость?
A: Есть сообщения приблизительно два отдельных Trojans от того же самого семейства.
Следующие названия{имена} используются:

Sophos:
Troj/DwnLdr-FXG [троянский]
Troj/DwnLdr-FXH [троянский]

Тенденция Микро (ждущий подтверждения):
TROJ_TINY.DU [троянский]
(псевдоним Troj/DwnLdr-FXG, writeup N/A)

F-Secure:
Троянский загрузчик. Win32. Cryptic.ec [троянский]
Троянский загрузчик. Win32. Cryptic.f [троянский]
Троянский загрузчик. Win32. Tiny.y [троянский]
(описания N/A)

Панда:
Защита с TruePrevent механизмом
(malware называют или описание N/A)

McAfee:
[Троянский] загрузчик-AZP
[Троянский] загрузчик-AZQ
[Троянский] загрузчик-AZR

Microsoft OneCare:
TrojanDownloader:Win32/Agent. BBX [троянский]
TrojanDownloader:Win32/Agent. BBY [троянский]
TrojanDownloader:Win32/Agent. BBZ [троянский]
(описания N/A)

Это стоит из того, чтобы замечать, что 0-дневная уязвимость в офисных программах широко используется к индустриальному шпионажу в течение прошлых месяцев.

Q: Мой AV продавец не перечисляет названия{имена} этих типов в их Web-страницах. Как я знаю, что мое AV программное обеспечение защищает меня?
A: Возможно, что антивирусное программное обеспечение имеет защиту к этой угрозе, но malware база данных в их Web-странице не включает определенную рецензию все же из-за отсутствующей выборки и т.д. Лучший путь состоит в том, чтобы проверить{отметить} ситуацию от вашего AV продавца.
Этот документ будет модифицирован, чтобы включить новые назначенные названия{имена}.

Q: Есть ли Шторм Internet, выравнивают по центру документы, доступные о проблеме{выпуске}?
A: Да. Центр Шторма Internet (межсистемная связь) выпустил следующий вход Дневника: isc.sans.org/diary.php? storyid=1913

Q: Там любые консультации Службы компьютерной безопасности выпущены?
A: Центр Координации Службы компьютерной безопасности выпустил его предупреждение Примечания Уязвимости VU*167928 6-ого декабря в www.kb.cert.org/vuls/id/167928.
Дополнительно, несколько национальных модулей Службы компьютерной безопасности выпустили их собственные предупреждения.

Q: Какова CVSS Серьезность этой уязвимости?
A: CVSS (Общая{Обычная} Система Выигрыша Уязвимости) счет - 7.0 (Высоко).

Q: Там CME название{имя} к этому, имел отношение malware доступный?
A: Номер Общее{Обычное} Malware Перечисление (CME) проект не назначил идентификатор на этот malware.

Q: Windows Живет, безопасный Центр обнаруживает этот malware?
A: Эта информация не доступна. МОДИФИКАЦИЯ 8-ого декабря: Microsoft говорит Windows, оперативный OneCare Безопасный Сканер (в стадии Beta) обнаруживает этот malware.
Q: Каково имя файла злонамеренных документов, используемых в связанных случаях{делах} инфекции?
A: Эта информация не доступна.
Q: Там информация о размере файла используется?
A: Номер вложение Файла устанавливает размеры информации, не доступен.
Обновите{Модифицируйте}: По сообщениям размер файла изменяется.

Q: Каково содержание документа Word?
A: Снова, информация N/A.
Q: Любое пользовательское взаимодействие необходимо при открытии злонамеренного файла Word?
A: Номер Открытие уродливый файл Word вызывает уязвимость со злонамеренным кодом, внедренным в документе Word.

Q: Безопасно открыться, документы Word, исходящие из доверяли, известный отправитель в течение следующих дней?
A: Ответ - да и нет. В эти дни Вы не можете положить, что информация отправителя, включенная в приложенный файл Word сообщения правдива (если электронная почта использований нападавшего нападает на вектор также). Если Вы не уверены, Вы можете всегда звонить отправителю, если электронная почта, включая .DOC вложения прибывает неожиданно.
Дополнительно, возможно включить злонамеренные файлы Microsoft Word как внедренные файлы к файлам Microsoft Excel, или файлам Microsoft PowerPoint.

Q: Возможно, что злонамеренные файлы Word (.DOC расширение файла и т.д.) расположены в Web-страницах также?
A: Да. Возможно, что нападавшие могут определить местонахождение уродливых файлов Word к Web-страницам. Некоторые другие возможные векторы нападения - приложения IM, USB палки, сменные диски, гибкие диски и т.д.

Q: Документы Word фильтрации в сетевом периметре защищают меня?
A: Номер Обычно Windows будет, открытые файлы с информацией заголовка файла, то есть фильтрацией расширением{продлением} - не способ, которым Вы можете доверять.

Q: Что уязвимый компонент затрагивает эту уязвимость?
A: Эта информация не доступна, но вероятно ошибка находится в Winword.exe выполнимой программе непосредственно.

Q: Это - первый раз, когда уродливая строка в документе Word может вызвать государство{состояние} выполнения кода?
A: Номер исправления Microsoft Office, выпущенные в октябре (MS06-062 и MS06-060) включенные местоположения к этому типу проблем{выпусков} также.

Q: Когда местоположение к этой уязвимости ожидается?
A: Невозможно сказать. Microsoft сообщил, что они разрабатывают модификацию защиты для этой уязвимости. Следующие ежемесячные модификации защиты намечены до 12-ого декабря 2006.
Согласно уведомлению Microsoft наступающие ежемесячные модификации включают только Бюллетени Защиты Microsoft, затрагивающие Windows и Визуальную Студию. Связь{ссылка} к странице программы Advance Notification - www.microsoft.com/technet/security/bulletin/advance.mspx.

Q: Действительно ли там CVE название{имя} доступен этой проблеме{выпуску}?
A: Да. Общая{Обычная} Уязвимость и проект Дефектов (cve.mitre.org) освободили следующего CVE кандидата:
cve.mitre.org/cgi-bin/cvename.cgi? name=CVE-2006-5994

Q: Там любые изменения{замены} в - широко известные метры угрозы Internet продавцов защиты?
A: Да. Метр ThreatCon Симантека поднял к уровню 2/4 (Поднятый):
www.symantec.com/avcenter/threatcon/learnabout.html

IBM ISS AlertCon X-силы (Текущий Уровень Угрозы Internet) - на уровне 2/4 (Увеличенная бдительность) также:
https: // gtoc.iss.net/issEn/delivery/gtoc/index.jsp
Связь{Ссылка} на связанное предупреждение: iss.net/threats/W32.Downloader.MSWord.929433.html

ThreatCenter Глобальное Условие{Состояние} Угрозы Макафи в настоящее время на уровне 2/4 (Поднято) также:
www.mcafee.com/us/threat_center/default.asp

Q: Там rootkit методы включен в malwares, эксплуатирующий эту уязвимость?
A: Нет никакой доступной информации.

Q: Есть ли информация о начале координат связанных авторов malware?
A: Номер

Q: Там любые другие технические справочники выпущены?
A: Да. Microsoft Word консультации Макафи 0-дневная Уязвимость I и eEye Нулевой-дневный Буксир EEYEZD-20061205 был выпущен.

(c) Juha-Matti Laurio, Finland (UTC +2hrs)
Click to expand...

В паблике, ИМХО, сплоитов нет пока.

Дыра в Word позволяет захватить контроль над ПК

»Atom1c« Banned

+toxa+ Smack! SMACK!!!

И.Г. Elder - Старейшина

Sn@k3 Elder - Старейшина

+toxa+ Smack! SMACK!!!

QesterF New Member

ToniKapuchon Elder - Старейшина

»Atom1c« Banned

DIAgen Banned Life!

cheet Banned

MacTep Elder - Старейшина

.Slip Elder - Старейшина

-Concord- Elder - Старейшина

Otaku Elder - Старейшина

Федя New Member

-=lebed=- хэшкрякер

Lesnoy_chelovek Elder - Старейшина

-=lebed=- хэшкрякер

Уязвимость в OverlayFS, позволяющая повысить свои привилегии

Уязвимость aCropalypse позволяет восстановить изображения, обработанные на смартфонах Pixel

Claroty Team82: домофон Akuvox E11 изобилует дырами в системе безопасности.

В менеджере паролей KeePass найдена опасная уязвимость, позволяющая украсть пароли

Useful Searches

Дыра в Word позволяет захватить контроль над ПК

»Atom1c« Banned

+toxa+ Smack! SMACK!!!

И.Г. Elder - Старейшина

Sn@k3 Elder - Старейшина

+toxa+ Smack! SMACK!!!

QesterF New Member

ToniKapuchon Elder - Старейшина

»Atom1c« Banned

DIAgen Banned Life!

cheet Banned

MacTep Elder - Старейшина

.Slip Elder - Старейшина

-Concord- Elder - Старейшина

Otaku Elder - Старейшина

Федя New Member

-=lebed=- хэшкрякер

Lesnoy_chelovek Elder - Старейшина

-=lebed=- хэшкрякер

Уязвимость в OverlayFS, позволяющая повысить свои привилегии

Уязвимость aCropalypse позволяет восстановить изображения, обработанные на смартфонах Pixel

Claroty Team82: домофон Akuvox E11 изобилует дырами в системе безопасности.

В менеджере паролей KeePass найдена опасная уязвимость, позволяющая украсть пароли