Na początku marca wykryto lukę w oprogramowaniu Microsoft Office. Na atak szczególnie narażeni są użytkownicy arkusza kalkulacyjnego Excel. Wykryta dziura jest kolejną, która umożliwia zdalne wykonanie kodu w niezałatanym systemie. Ingerencja następuje w momencie przetwarzania przez Excel złośliwie spreparowanego arkusza. Powoduje to przepełnienie bufora - czyli fragmentu pamięci RAM zarezerwowanego przez system operacyjny na dane przetwarzane przez program - w tym wypadku przez Excel. Co za tym idzie, nadpisany zostaje obszar pamięci operacyjnej, wykorzystywany zwykle przez inne programy, dzięki czemu kod pierwotny zastępowany jest innym (wykonywalnym).

Tworzone przez hakerów licencje mają uwiarygodnić w naszych oczach oprogramowanie i zachęcić nas do zainstalowania go w naszym komputerze.

Od tego momentu haker jest w stanie przejąć kontrolę nad komputerem ofiary, włącznie z możliwością zdalnego wykonywania czynności na prawach użytkownika zalogowanego w danym momencie.

Ostrożnie z Excelem

Mechanizm ataku jest następujący: osoba pracująca w systemie, który nie jest odpowiednio zabezpieczony, otwiera spreparowany plik arkusza kalkulacyjnego. Powoduje to uruchomienie programu Excel i próbę zwykłego przetworzenia pliku.xls. W trakcie przetwarzania tworzony jest i uruchamiany zbiór C:\Documents and Settings\<nazwa_profilu_użytkownika>\Ustawiena Lokalne\temp\AdobeUpdater.exe. Następnie plik AdobeUpdater.exe tworzy i uruchamia zbiór C:\Documents and Settings\<nazwa_profilu_użytkownika>\Ustawiena Lokalne\temp\AcroRD32.exe. Na końcu AcroRD32.exe nawiązuje połączenie z Internetem i usuwa swój plik macierzysty AdobeUpdater.exe.

Wiele wskazuje na to, że luka ta - z racji popularności oprogramowania biurowego Microsoftu - będzie bardzo chętnie wykorzystywana przez cyberprzestępców. Hakerom zadanie ułatwiają też sami użytkownicy systemu Windows, którzy z reguły podczas pracy z komputerem korzystają z uprawnień administratora. Wykryty został już pierwszy złośliwy kod eksploatujący tę wadę oprogramowania. Nosi on nazwę Exploit:Win32.Evenex.gen.

[...]

Autor jest dyrektorem technicznym Panda Security Polska oraz analitykiem rynku bezpieczeństwa informatycznego.