[SECURITY-L] CAIS-Alerta: Vulnerabilidade de Execucao de Codigo no Microsoft PowerPoint (922970)

CSIRT - UNICAMP security em unicamp.br
Qua Jul 19 14:46:37 -03 2006 

--------------------------- Mensagem Original ----------------------------
Assunto: CAIS-Alerta: Vulnerabilidade de Execucao de Codigo no Microsoft
PowerPoint (922970)
De:      "Centro de Atendimento a Incidentes de Seguranca" <cais em cais.rnp.br>
Data:    Qua, Julho 19, 2006 11:19 am
Para:    rnp-alerta em cais.rnp.br
         rnp-seg em cais.rnp.br
--------------------------------------------------------------------------

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


Prezados,

O CAIS esta' repassando o alerta da Microsoft, intitulado "Vulnerability
in PowerPoint Could Allow Remote Code Execution (922970)", que trata de
uma vulnerabilidade critica recem-descoberta no Microsoft PowerPoint.

Atraves de uma apresentacao PowerPoint especialmente construida, um
atacante pode executar codigo arbitrario em uma maquina vulneravel com os
direitos do usuario que abrir o arquivo em questao.

E' importante ressaltar que a vulnerabilidade em questao esta' sendo
explorada atualmente, e que ainda nao existe uma correcao disponibilizada
pelo fabricante. Abaixo segue uma lista de malwares que ja' exploram esta
vulnerabilidade em especifico:

Backdoor.Bifrose.F [Trojan]
Trojan.PPDropper.B [dropper]
BKDR_BIFROSE.DS [Trojan]
TROJ_MDROPPER.AS [dropper]
BackDoor-CEP [Trojan]
Exploit-PPT.b [exploit]
Troj/Edepol-C [Trojan]
Bifrose.UZ [Trojan]
Backdoor.Win32.Bifrose.uz [Trojan]
Backdoor:Win32/Bifrose!E029 [Trojan]
W32/Bifrose.UZ [Trojan]
Trojan.Riler.F [Trojan]
Trojan.PPDropper.C. [dropper]


Sistemas afetados:

. Microsoft PowerPoint 2003
. Microsoft PowerPoint 2002
. Microsoft PowerPoint 2000


Formas de mitigacao:

As seguintes acoes podem ser tomadas para evitar e reduzir o impacto da
vulnerabilidade em questao:

. Nunca abrir documentos do PowerPoint provenientes de fontes nao
  confiaveis e se possivel verificar se o arquivo enviado deve mesmo ser
  aberto.

. Abrir as apresentacoes do PowerPoint no Microsoft PowerPoint Viewer 2003
  que nao e' vulneravel.

. Manter sempre o Anti-virus atualizado. Assinaturas para este tipo de
  ataque ja' estao disponiveis.

. O Microsoft Security Response Center informa que o Windows Live Security
  Center foi atualizado para detectar este tipo de ataque. A URL de acesso
  ao Security Center pode ser encontrada na secao "Mais Informacoes" deste
  alerta.


Correcoes disponiveis:

Ainda nao existem correcoes disponibilizadas pelo fabricante para a
vulnerabilidade em questao. As correcoes devem fazer parte do proximo ciclo
mensal da Microsoft em 8 de Agosto de 2006.


Mais informacoes:

. Microsoft Security Advisory (922970)
  Vulnerability in PowerPoint Could Allow Remote Code Execution
  http://www.microsoft.com/technet/security/advisory/922970.mspx

. 0-day exploit for Microsoft PowerPoint
  http://isc.sans.org/diary.php?storyid=1484

. Chinese words of love exploit PowerPoint day zero flaw
  http://www.sophos.com/pressoffice/news/articles/2006/07/chinesewords.html

. Microsoft PowerPoint 0-day Vulnerability FAQ
  http://blogs.securiteam.com/?p=508

. Windows Live Safety Center
  http://safety.live.com

. Microsoft Brasil Security
  http://www.microsoft.com/brasil/security

. Technet Brasil - Central de Seguranca
  http://www.technetbrasil.com.br/seguranca


Identificador CVE (http://cve.mitre.org): CVE-2006-3590


O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as ultimas versoes e
correcoes oferecidas pelos fabricantes.

Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml

Atenciosamente,


################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)
Comment: pgpenvelope 2.10.2 - http://pgpenvelope.sourceforge.net/

iQCVAwUBRL4/hekli63F4U8VAQJyIQQAowPIEqJffJ+7dXri/DabTN8HQro1scQu
r3gIxrtcAz0ht+w6kTc0oFaei2zREflEVvwimMI85Xwn02xMLW9jW0Kr1r6Kgl2t
qrZ1jpy/McJeyUuhk1uKhsimLu7J7Km+hh8XgG5yUntEOqTjAEeRQn8GAau3GnDK
T/pcbNDROw0=
=Dya1
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L