[SECURITY-L] CAIS-Alerta: Vulnerabilidade de Execucao de Codigo no Microsoft PowerPoint (922970)
CSIRT - UNICAMP
security em unicamp.br
Qua Jul 19 14:46:37 -03 2006
--------------------------- Mensagem Original ----------------------------
Assunto: CAIS-Alerta: Vulnerabilidade de Execucao de Codigo no Microsoft
PowerPoint (922970)
De: "Centro de Atendimento a Incidentes de Seguranca" <cais em cais.rnp.br>
Data: Qua, Julho 19, 2006 11:19 am
Para: rnp-alerta em cais.rnp.br
rnp-seg em cais.rnp.br
--------------------------------------------------------------------------
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Prezados,
O CAIS esta' repassando o alerta da Microsoft, intitulado "Vulnerability
in PowerPoint Could Allow Remote Code Execution (922970)", que trata de
uma vulnerabilidade critica recem-descoberta no Microsoft PowerPoint.
Atraves de uma apresentacao PowerPoint especialmente construida, um
atacante pode executar codigo arbitrario em uma maquina vulneravel com os
direitos do usuario que abrir o arquivo em questao.
E' importante ressaltar que a vulnerabilidade em questao esta' sendo
explorada atualmente, e que ainda nao existe uma correcao disponibilizada
pelo fabricante. Abaixo segue uma lista de malwares que ja' exploram esta
vulnerabilidade em especifico:
Backdoor.Bifrose.F [Trojan]
Trojan.PPDropper.B [dropper]
BKDR_BIFROSE.DS [Trojan]
TROJ_MDROPPER.AS [dropper]
BackDoor-CEP [Trojan]
Exploit-PPT.b [exploit]
Troj/Edepol-C [Trojan]
Bifrose.UZ [Trojan]
Backdoor.Win32.Bifrose.uz [Trojan]
Backdoor:Win32/Bifrose!E029 [Trojan]
W32/Bifrose.UZ [Trojan]
Trojan.Riler.F [Trojan]
Trojan.PPDropper.C. [dropper]
Sistemas afetados:
. Microsoft PowerPoint 2003
. Microsoft PowerPoint 2002
. Microsoft PowerPoint 2000
Formas de mitigacao:
As seguintes acoes podem ser tomadas para evitar e reduzir o impacto da
vulnerabilidade em questao:
. Nunca abrir documentos do PowerPoint provenientes de fontes nao
confiaveis e se possivel verificar se o arquivo enviado deve mesmo ser
aberto.
. Abrir as apresentacoes do PowerPoint no Microsoft PowerPoint Viewer 2003
que nao e' vulneravel.
. Manter sempre o Anti-virus atualizado. Assinaturas para este tipo de
ataque ja' estao disponiveis.
. O Microsoft Security Response Center informa que o Windows Live Security
Center foi atualizado para detectar este tipo de ataque. A URL de acesso
ao Security Center pode ser encontrada na secao "Mais Informacoes" deste
alerta.
Correcoes disponiveis:
Ainda nao existem correcoes disponibilizadas pelo fabricante para a
vulnerabilidade em questao. As correcoes devem fazer parte do proximo ciclo
mensal da Microsoft em 8 de Agosto de 2006.
Mais informacoes:
. Microsoft Security Advisory (922970)
Vulnerability in PowerPoint Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/922970.mspx
. 0-day exploit for Microsoft PowerPoint
http://isc.sans.org/diary.php?storyid=1484
. Chinese words of love exploit PowerPoint day zero flaw
http://www.sophos.com/pressoffice/news/articles/2006/07/chinesewords.html
. Microsoft PowerPoint 0-day Vulnerability FAQ
http://blogs.securiteam.com/?p=508
. Windows Live Safety Center
http://safety.live.com
. Microsoft Brasil Security
http://www.microsoft.com/brasil/security
. Technet Brasil - Central de Seguranca
http://www.technetbrasil.com.br/seguranca
Identificador CVE (http://cve.mitre.org): CVE-2006-3590
O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as ultimas versoes e
correcoes oferecidas pelos fabricantes.
Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)
Comment: pgpenvelope 2.10.2 - http://pgpenvelope.sourceforge.net/
iQCVAwUBRL4/hekli63F4U8VAQJyIQQAowPIEqJffJ+7dXri/DabTN8HQro1scQu
r3gIxrtcAz0ht+w6kTc0oFaei2zREflEVvwimMI85Xwn02xMLW9jW0Kr1r6Kgl2t
qrZ1jpy/McJeyUuhk1uKhsimLu7J7Km+hh8XgG5yUntEOqTjAEeRQn8GAau3GnDK
T/pcbNDROw0=
=Dya1
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L