U bent nu hier: » Home » Technologie » Excel 0-day ligt op de loer

Excel 0-day ligt op de loer

Gepubliceerd: 25 februari 2009 om 10:05 uur
Auteur: Michiel van Blommestein

Een nieuw ontdekte kwetsbaarheid in Excel wordt actief misbruikt door hackers om gerichte aanvallen uit te voeren op gebruikers.

Dat bevestigt Microsoft met een beveiligingsbericht van gisteravond, nadat op maandag al de eerste melding is gepubliceerd op nieuwsportal Securityfocus. Het moederbedrijf van die site, Symantec, constateert dat het lek gebruikt wordt om een trojan, Trojan.Mdropper.AC, op het doelsysteem te installeren. Nu komt deze malware-downloader niet heel veel voor en krijgt het daarom een risiscowaardering van 'zeer laag', maar het is wel een 0-day omdat een patch voor dit lek in Excel nog niet beschikbaar is.

Details over het lek heeft Symantec, uiteraard, niet bekend gemaakt, anders dan dat het wordt uitgebuit met een geprepareerd .xls-bestand. De exploit maakt het mogelijk om willekeurige code te draaien op het moment dat de gebruiker de 'spreadsheet' opent. Een aanval via de browser is ook mogelijk, door met een link naar een besmet bestand te verwijzen.

De code krijgt hetzelfde toegangsniveau als de gebruiker, waardoor gebruikers met adminrechten meer risico lopen dan standaardgebruikers. Zowel XP als Vista zijn vatbaar, terwijl het lek zelf aanwezig is in alle huidige versies van Office, ook die voor Mac (2004 en 2008). Over eventuele aanvallen op Apple-systemen wordt niets gemeld.

Microsoft laat in zijn beveiligingsbericht open of het lek met een maandelijkse patchronde (de volgende is dinsdag over twee weken), of met een tussentijdse 'out of bounds' patch gaat verhelpen. In de tussentijd komt vanuit Redmond het advies om vooral geen Officebestanden van onbekende bron te openen (nogal logisch), of om dit te doen in de MOICE (Microsoft Office Conversion Environment)-omgeving.

Beheerders kunnen eventueel een File Open Block-policy instellen in het register. Voor Office 2003 is dat op [HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Excel\Security\FileOpenBlock], met daar de instelling "BinaryFiles"=dword:00000001. Voor Office 2007 geldt dezelfde instelling voor [HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Excel\Security\FileOpenBlock]. Terugzetten kan door de laatste 1 in een 0 te veranderen.

Peiling

Wat is jouw favoriete ICT product op het moment?

 
 
 
 
 
 
 
 
 
 
 

Een eerste blik op Google Chrome OS