En PC & Nätverksteknikers tankar

Microsoft har släppt en säkerhetsbulletin för maj månad som berör Office-programmet Powerpoint. Bland annat rättas SR09-057, samt en rad andra allvarliga sårbarheter som kan leda till exekvering av godtycklig kod på det lokala systemet. Flera programrättningar ersätter tidigare rättningar i MS08-051.

Påverkade versioner:

• Microsoft Office 2000 Service Pack 3
• Microsoft Office XP Service Pack 3
• Microsoft Office 2003 Service Pack 3
• Microsoft Office 2007 System Service Pack 1
• Microsoft Office 2007 System Service Pack 2
• Microsoft Office 2004 for Mac
• Microsoft Office 2008 for Mac
• Microsoft Works 8.5
• Microsoft Works 9.0

En säkerhetsbrist har nyligen upptäckts i Microsoft Powerpoint. En angripare kan utnyttja sårbarheten genom att lura en användare att öppna en speciellt preparerad Powerpoint fil. Ett lyckat utnyttjande kan leda till att kod körs med samma rättigheter som innehas av användaren.

Påverkade versioner:

• Microsoft Office PowerPoint 2000 Service Pack 3
• Microsoft Office PowerPoint 2002 Service Pack 3
• Microsoft Office PowerPoint 2003 Service Pack 3
• Microsoft Office 2004 for Mac

Microsofts har släppt fyra stycken säkerhetsbulletiner för februari månad. Två stycken klassificeras av Microsoft som "kritiska" och två som "viktiga".

Nedan följer en beskrivning av säkerhetshålen som rättas med februari månads säkerhetsbulletiner och finns nu tillgängliga via Windows Update.

MS09-002 Internet Explorer ("kritisk"):

Säkerhetsuppdateringen rättar två sårbarheter i Internet Explorer.

• En angripare kan utnyttja sårbarheterna genom lura användare med en sårbar version av Internet Explorer att besöka en specialkonstruerad webbplats. Problemen är ospecificerade men finns vid användandet av ett sedan tidigare borttaget objekt och vid hanterandet av CSS-filer (Cascading Style Sheets). Vid ett effektivt utnyttjande kan angriparen exekvera godtycklig kod på användarens system och det sker med samma rättigheter som den inloggade användaren besitter.
  

• Den första sårbarheten går att utnyttja genom att ett specialkonstruerat meddelande i TNEF-format (Transport Neutral Encapsulation Format) bearbetas av en sårbar Exchange-server. En angripare kan till exempel specialkonstruera ett e-postmeddelande i TNEF-format och skicka till en sårbar server. Vid ett effektivt utnyttjande av denna sårbarhet kan en angriparen ta full kontroll över det drabbade systemet och erhålla samma rättigheter som tjänsten för Exchange Server har.

• Den andra sårbarheten kan medge en tillgänglighetsattack om ett specialkonstruerat MAPI-kommando skickas till en sårbar Exchange-server. Vid ett effektivt utnyttjande kan tjänsten "Microsoft Exchange Server System Attendant" och andra tjänster som använder sig av "EMSMDB32" (Electronic Messaging System Microsoft Data Base, 32 bit build) bli otillgängliga.
  

• Sårbarheten beror på ett fel i hur Microsoft SQL Server hanterar parametrar i "sp_replwritetovarbin()". Sårbarheten kan utnyttjas av en angripare som har åtkomst till en sårbar SQL-server genom att skicka ett specialkonstruerat argument till den sårbara proceduren.
  

• Sårbarheterna går att utnyttja med hjälp av en specialkonstruerad Visio-fil. Vid ett effektivt utnyttjande kan sårbarheterna leda till att minnet blir korrupt och godtycklig kodexekvering kan ske på det sårbara systemet. En angripare kan på så sätt skaffa sig samma rättigheter på systemet som den drabbade användaren har.
  

Som brukligt släpper Microsoft uppdateringar den andra tisdagen i varje månad. Elva stycken säkerhetsuppdateringar släpps denna gång varav fyra betecknas som "kritiska". Bland annat så innehåller Internet Explorer och Excel kritiska säkerhetshål.

Microsoft varnar även för kod som utnyttjar ett av säkerhetshålen redan har publicerats på internet.

Förutom Microsoft släpper även Oracle, säkerhetsuppdateringar imorgon tisdag. Oracles databas, WebLogic och PeopleSoft Enterprise CRM är några produkter som omfattas. Totalt är det 36 stycken säkerhetsuppdateringar.

Igår släppte Microsoft totalt 11 nya säkerhetsuppdateringar för Windows och Microsoft Office. Av dessa är 6 uppdateringar klassade som kritiska och 5 är klassade som viktiga.

Fokuseringen av de åtgärdade säkerhetsbristerna ligger till största del i programvaran för i Microsoft Windows, Outlook Express, Windows Mail, Windows Messenger och Microsoft Office.

Om du inte har Windows Vista så kan du ladda hem uppdateringarna via Microsoft Update.

Mer specifikt finns att läsa om uppdateringarna på: Microsoft Security Bulletin

Sårbarheten orsakas genom ett ospecificerat fel och kan utnyttjas för att generera minneskorruption via ett specialkonstruerat dokument. Effektivt utnyttjande medger godtycklig kodexekvering på det sårbara systemet.

Påverkade versioner:

• Microsoft Office Word 2002 Service Pack 3

Symantec rapporterar om en sårbarhet, som har hittats Ivan Sanchez, i programmet Microsoft Word. Om en användare med en sårbar version luras att öppna en preparerad dockumentfil så leder det till att programmet kraschar. Det kan även finnas en möjlighet att utnyttja bristen för att exekvera godtycklig kod i systemet med samma rättigheter som den inloggade användaren.

Påverkade versioner:
* Microsoft Word 2000
* Microsoft Word 2000 SR1
* Microsoft Word 2000 SR1a
* Microsoft Word 2000 SP2
* Microsoft Word 2000 SP3
* Microsoft Word 2003
* Microsoft Word 2003 SP1
* Microsoft Word 2003 SP2
* Microsoft Word 2003 SP3

Det nyligen väckta viruset Gpcode.ak uppmärksamhet eftersom det krypterar filer på offrets dator och sen begär en lösensumma. Nu berättar IT-säkerhetsföretaget Kaspersky om en metod att återskapa filerna som krypterats.

Kasperskys metod utnyttjar en svaghet i hur viruset krypterar filerna som det tar som gisslan. Innan viruset krypterar en fil skapar det en ny fil som kommer att innehålla den krypterade versionen av filen. Efter det raderar viruset originalfilen. Eftersom båda filerna existerar samtidigt är de inte skrivna på samma plats på hårddisken. Viruset gör inget för att skriva över det utrymme där den okrypterade originalfilen fanns. Det gör att originalfilen kan återskapas med hjälp av ett vanligt filräddningsprogram.

Kaspersky Labs har testat olika gratis filräddningsprogram och rekommenderar PhotoRec som utvecklats av Christophe Grenier och distribueras under GPL-licens. Det ska klara att återskapa Microsoft Office-dokument, PDF-filer, körbara filer samt text dokument.

Kritisk nivå:

Beskrivning:
Två sårbarheter har rapporterats i Microsoft Word som kan utnyttjas av illasinnade personer att kompromettera en användares system.

1) Ett fel vid tolkning objekt i RTF (.rtf-filer) kan utnyttjas för att orsaka en heap-buffertöversvämning t.ex. när en användare öppnar en särskilt utformad .rtf-fil som innehåller felaktig strängar med Word eller förhandsvisningar ett särskilt utformat e-post som innehåller felaktig strängar som rik text eller HTML.

2) Ett fel finns i bearbetningen av Cascading Style Sheets (CSS) värden och kan utnyttjas till korrumpera minnet när en särskilt utformat HTML-fil öppnas med hjälp av Word.

En lyckad exploatering gör det möjligt att köra av elakartad kod på din dator.

Lösning:
Installera någon av dessa uppdateringar.

Microsoft Office 2000 SP3:
http://www.microsoft.com/downloads/de...=9215ff71-38c0-416a-b89a-fe3474160f41

Microsoft Office XP SP3:
http://www.microsoft.com/downloads/de...=b348a518-221e-4567-a797-999715a8b2ef

Microsoft Office 2003 SP2/SP3:
http://www.microsoft.com/downloads/de...=bc33d144-f917-47b8-961f-744ca847e14c

2007 Microsoft Office System (frivilligt med SP1):
http://www.microsoft.com/downloads/de...=071ceaa2-12e3-4401-9331-2a54a93e2550

Microsoft Word Viewer 2003 (eventuellt med SP3):
http://www.microsoft.com/downloads/de...=bce7ea31-2bf0-4930-aff9-837bcc82a682x?

Microsoft Office Compatibility Pack för Word, Excel och PowerPoint 2007-filformat (frivilligt med SP1):
http://www.microsoft.com/downloads/de...=2d718f37-c5d1-4e15-a7e1-5a15fedef52f

Microsoft Office 2004 för Mac:
http://www.microsoft.com/downloads/de...=99F54471-CCF9-4D94-A882-A05ECD128ADC

Microsoft Office 2008 för Mac:
http://www.microsoft.com/downloads/de...=395D1487-A3A6-4106-A0F8-4D6E1D6D89D2

Den 15 November uppdaterade SANS Institute sin lista över de 20 allvarligaste säkerhetsriskerna, en lista som är baserad på fler än tre dussin säkerhetsforskares och organisationers åsikter, däribland US Cert och Departement of Homeland Security.

Den senaste trenden visar att hackarna allt mer avlägsnar sig från högprofilmetoder som virus och maskar för att i stället jobba mer i det fördolda med hjälp av trojaner och andra typer av diskret skadlig kod, uppgav Alan Paller, forskningschef på SANS, när listan presenterades.

Han få medhåll av Roger Cumming, chef för brittiska National Infrastructure Security Coordination Center, som konstaterar att hans organisation publicerat allt färre varningar om de mer traditionella hoten. Han säger att NISCC i stället sett en markant uppgång i antalet attacker med så kallade trojaner, som ofta kommer med filer som bifogats med e-postmeddelanden. Enligt honom utvecklar hackarna, på uppdrag av ligaledare, nu mer kod med speciella mål i sikte.

- Ligaledarna har inte själva de färdigheterna så värvar folk och betalar stora summor till hackare, säger Roger Cumming.

Han anser att det här gör det extra viktigt för företagen att fokusera på att riskhanteringmetoder som har tyngdpunkten på dataskydd.

Enligt Amol Sarwate, chef för Qualys sårbarhetslaboratorium, visar data från över tio miljoner nätverksskanningar att allt fler sårbarheter upptäcks i Microsofts Office-tillämpningar och att antalet attacker mot dessa ökar. Hittills i år har man hittat tre gånger så många sårbarheter i Office som man gjorde under hela 2005, uppger han. 45 av de säkerhetsbrister som hittats i år är att beteckna som allvarliga eller kritiska och 9 utnyttjades för så kallade nolldagarsattacker, det vill säga de användes för attacker innan det fanns några patchar att skydda sig med. Oftast utförs de här attackerna genom att skadlig kod lagts in i Word-, Excel eller Powerpoint-dokument som sedan sprids via e-post.

Många andra attacker utförs dock direkt via webben, genom att den utsatte helt enkelt luras att besöka en smittad sida. Den här typen av attacker har ökat kraftigt gör det nödvändigt för företagen att hålla ögonen på dem, säger Johannes Ullrich, teknikchef på SANS.

Webbapplikationer är ett annat problem område. Enligt Johannes Ullrich utförs inte attacker mot dessa bara för att komma åt den bakomliggande informationen utan också för att hackarna ska kunna använda webbservrarna för vidare attacker.

- De här applikationerna är ofta en Akilleshäl för många storföretag, säger Johannes Ullrich.

- Webbapplikationerna är ofta åtkomliga utifrån och de är inte sällan hastiga hopkok där man inte lagt speciellt mycket fokus på säkerheten, förklarar Johanns Ullrich.

När det gäller nolldagarsattackerna så riktas många av dessa mot Microsoft-produkter, speciellt Internet Explorer, Word och Powerpoint och många verkar utföras från Kina, uppger SANS i sin rapport. Av de 20 man har med i rapporten var fem riktade mot Internet Explorer, tre mot Powerpoint och fyra mot Apples webbläsare Safari och företagets operativsystem.

Men på SANS lista över säkerhetsrisker var också för första gången den mänskliga faktorn, som ofta utnyttjades på så kallade med mycket riktade ljusterfiskeattacker. Till den här problemkategorin hör också problemen med att företagen ofta ger sina användare för stora rättigheter och att ser genom fingrarna när det gäller användandet av ickeauktoriserade enheter i företagets nätverk.

Listan finns här.

I tisdags släppte Microsoft sina månatliga säkerhetsuppdateringar. Novemberbulletinen innehöll en uppdatering. Av Microsoft har den klassificerats som kritisk, och att en lyckad attack kan i värsta fall ge angriparen total kontroll över systemet.

Nu rapporteras om en trojan som utnyttjar sårbarheten. Angreppet gör inte att kontrollen av systemet helt hamnar i den obehöriges händer, men väl sätts i ett överbelastningsläge genom att hänga explorer.exe

Trojanen kallas Troj_Emfsploit.A och har identifierats av antivirusföretaget Trend Micro. Sårbarheten drabbar Windows 2000, Windows XP samt Windows 2003 Server. Den kan utnyttjas av program som visar grafikfiler av formaten EMF och WMF. Filerna kan öppnas med exempelvis Officeprogram, Outlook Express och Internet Explorer.

Den här gången verkar det som sagt röra sig om en trojan som ställer till med relativt ringa skada, men när någon eller några efter bara två dagar har skapat en trojan är risken överhängande att fler, kanske farligare, kommer. Enligt rapporter finns det dessutom offentligt ute skadlig kod som utnyttjar sårbarheten.

Enklaste sättet att skydda sig är att besöka Windows Update samt att aktivera automatiska uppdateringar i Windows.

I tisdags rullade Microsoft ut en ny samlad uppdatering för Office 2003. Uppdateringen ska både höja säkerheten och öka stabiliteten, säger Microsoft.

Uppdateringen, som kallas Service Pack 2, är på mellan 50 och 104 Megabyte beroende på om användaren väljer bort vissa komponenter. Många av de fellagningar som är inbakade i SP 2 har släppts tidigare som separata uppdateringar.

En av de nya funktionerna är skydd mot så kallad Phising i Outlook 2003:s filter mot spam. De användare som aktiverat skyddet mot skräppost kommer även att ha skyddet mot bedrägerier påslaget som förvalt läge.

Uppdateringen går att hämta på Microsoft Update.