Un trojan per Word ancora senza patch

Falla di sicurezza per Word - trojan rootkit- image via senocular.comFate attenzione ad aprire allegati che vi arrivano per posta. Potreste trovare una sorpresa.

E' attualmente in corso una allerta per un trojan (Mdropper.H Trojan) che sfrutta una nuova vulnerabilità di Word per installare un rootkit, vulnerabilità per cui non esiste attualmente nessuna patch ufficiale per risolverla.

Ginwui, questo il nome del rootkit, sarebbe in grado di prendere il controllo della shell e quindi eseguire comandi sul disco o effettuare screenshot, mettendo a rischio la sicurezza dei sistemi.

Il trojan è arrivato inizialmente tramite email con titolo "Notice", o
"RE Plan for final agreement", e documenti allegati "NO.060617.doc.doc" o
"PLANNINGREPORT5-16-2006.doc": naturalmente le varianti possibili saranno tante fino all'uscita della patch.

Secunia ha classificato la vulnerabilità come "estremamente critica".
Diverse le posizioni dei vari gruppi di ricerca sulle versioni interessate dalla vulnerabilità: Secunia esclude Word 2000 mentre FrSIRT include anche questa versione tra quelle a rischio.

Microsoft ha già incluso il trojan nel suo Windows Live Safety Center.

La vulnerabilità sfrutta in pratica il modo in cui Word gestisce i documenti: quello che in pratica succede è un buffer overflow seguente alla lettura di documenti malformati, che permettono poi l'esecuzione di codice maligno.

Possiamo solo consigliarvi di aprire ogni file di Word con Word Viewer, per evitare sorprese.
A meno che non stiate utilizzando OpenOffice, ma in questo caso su questo articolo ci fate su una risata.

[via Microsoft Security Response Center blog]

  • shares
  • +1
  • Mail