OpenOffice - вещь. Рекомендую всем!

Да... И как это сплоит интересно будет проходить через фаервол? даже тот встроеный который в Sp2 есть не говоря уже о других фаерах

Кому интересно продолжение истрии - http://blogs.securiteam.com/?p=759.
Потребуется знание английского.

SecuriTeam Blogs

SecuriTeam Домой Blogs О Записи с нами

Microsoft Word 0-дневная страница популярных вопросов Уязвимости - декабрь 2006, CVE-2006-5994 [МОДИФИЦИРОВАННЫЙ]
Juha-Matti - 7 декабря 2006 на 22:44 | В Сети, Microsoft, Комментарии, Вирусная, Корпоративная Защита |

Это - документ Часто задаваемых вопросов о новой нулевой-дневной уязвимости в Microsoft Word. Документ описывает, связал троянский malwares также.

Q: Каков недавний Microsoft Word 0-дневная уязвимость, раскрытая в декабре?
A: Эта уязвимость вызвана неизвестной ошибкой при обработке уродливых документов Word. Проблема{выпуск} была раскрыта продавцом. Поздно 5-ого декабря Microsoft сообщил о нулевых-дневных нападениях типа, использующих неописанный, предварительно неизвестная уязвимость в изделиях{программах} Microsoft Word. Microsoft выпускал Консультацию Защиты, чтобы обеспечить уведомление о “публично раскрытой уязвимости”.
Q: Как упомянутая уязвимость работает?
A: Уязвимость - уязвимость типа выполнения кода. Нападавший, успешно эксплуатирующий эту уязвимость может выполнить код его или ее выбор в затронутой машине. Выполнение произвольного кода сделано с недавними привилегиями зарегистрированного пользователя.
Эта уязвимость вызвана из-за искажения памяти при обработке уродливой строки в документе Word. Это допускает выполняющемуся произвольному коду нападавшего.

Q: Когда эта уязвимость была найдена?
A: Консультация Защиты Microsoft была издана во вторник 5-ого декабря с минимальными техническими подробностями.
Q: Каков механизм в распространении?
A: Информация не была раскрыта, но почтовый метод - самые общие{обычные} пути, используемые в предыдущих целенаправленных Офисных нападениях в этом году.

Q: Какие версии Windows затрагивают?
A: Инсталляции Microsoft Word, используемые в Windows 95, Windows 98, Windows Меня, Windows NT, Windows 2000, Windows XP, и Windows 2003 системы Сервера по сообщениям затрагивают.

Q: Что версии Word затрагивают?
A: Сообщается, что Word 2003, Word 2002 (иначе Word XP) и Word 2000 затрагивают. Другие версии Word можно затронуть также, однако.

Дополнительно, Word 2004 для РТА{КОСТИ} Макинтоша и Word 2004 v. X для Макинтоша затрагиваются также.

Microsoft перечисляет Microsoft Word Средство просмотра 2003 и версии Работ Microsoft 2006, 2005, и 2004 как уязвимые изделия{программы} также.

Q: Офисная утилита средства просмотра - Word Средство просмотра - затронута также?
A: Да. Консультация защиты продавца перечисляет Word Средство просмотра 2003 как затронуто также. Версия 2003 - последний Word доступное Средство просмотра.
Q: Набор программ Работ Microsoft затрагивают также?
A: Столь же упомянутый, три последних версии Работ перечислены как затронуто, потому что они включают MS Word.
Q: Microsoft Word для Макинтоша (версии X и 2004) затронут в этой уязвимости?
A: Снова, версии Macintosh Word затрагивают.
Q: Я использую неанглийскую версию Microsoft Word. Меня затрагивают?
A: С 7-ого декабря невозможно сказать. Точная информация о затронутых версиях языка не доступна все же. Обычно Microsoft выпускает местоположения для всех версий языка Офисных изделий{программ}.
МОДИФИКАЦИЯ 9-ого декабря:
Согласно BID21451 Секеритифокаса (Секеритифокас - subsdiary Symantec Corp.), следующие версии Microsoft Word отдельно перечислены как затронуто:

- Кореец 2000 Microsoft Word Версия
- Японец 2000 Microsoft Word Версия
- Китаец 2000 Microsoft Word Версия

Возможно, что целевые организации целенаправленных нападений используют эти версии языка. Этот вход будет модифицирован, когда троянское описание writeup от Symantec доступно.

Рекомендуют избежать открывать документы Word из недоверяемых источников на Английском языке и неанглийских системах.

Q: Где должностное лицо документы Microsoft связано с этим расположенным случаем{регистром}?
A: Возможная наступающая информация уведомления, изданная Microsoft расположена в Центре Ответа Защиты Microsoft (MSRC) Blog сайт. Адрес этого сайта - blogs.technet.com/msrc/default.aspx. Официальная консультация защиты была издана в разделе Консультаций Защиты Microsoft Microsoft TechNet сайт Защиты, www.microsoft.com/technet/security/advisory/default.mspx.
Связь{Ссылка} к консультации *929433:
www.microsoft.com/technet/security/advisory/929433.mspx

ОБРАТИТЕ ВНИМАНИЕ: См., что вход страницы популярных вопросов, связанный с наступающей ежемесячной защитой обновляет{модифицирует} позже.

Q: Как я могу защитить от этой уязвимости?
A: Лучший совет должен избежать открывать документы Word из неизвестных источников и документов Word, полученных неожиданно из источников, которым доверяют.
Q: Код деяния имеет эту уязвимость, публично выпущенную?
A: Номер

Q: Есть ли файл выборки Типа порта захода судна этой публично доступной уязвимости?
A: Номер Некоторые антивирусные продавцы имеет злонамеренный .DOC файл для того, чтобы генерировать защиту против угрозы.
Q: Безопасно открыть любые .DOC файлы больше?
A: Очень важно не открыть файлы Word из неизвестных источников: электронная почта, Web-страницы, мгновенный посыльный и т.д.

Q: Там любые визуальные эффекты сообщают об инфекции?
A: Информация N/A.

Q: Там любые изменения{замены} к файловой системе, сделанной связанным malwares?
A: Номер Согласно недавнему знанию только изменяется на Системный реестр, были сделаны.
Когда связанный троянский Troj/DwnLdr-FXG активизирует это, введет код в процесс “Shell_TrayWnd” и будет пытаться загружать код от отдаленного сайта. Больше подробностей: www.sophos.com/virusinfo/analyses/trojdwnldrfxg.html
Другой Троянский конь Troj/DwnLdr-FXH, в свою очередь, копии самостоятельно к [Системе] \wdfmgr32.exe файл. Больше подробностей: www.sophos.com/virusinfo/analyses/trojdwnldrfxh.html

Q: Что названия{имена} malwares эксплуатируют эту уязвимость?
A: Есть сообщения приблизительно два отдельных Trojans от того же самого семейства.
Следующие названия{имена} используются:

Sophos:
Troj/DwnLdr-FXG [троянский]
Troj/DwnLdr-FXH [троянский]

Тенденция Микро (ждущий подтверждения):
TROJ_TINY.DU [троянский]
(псевдоним Troj/DwnLdr-FXG, writeup N/A)

F-Secure:
Троянский загрузчик. Win32. Cryptic.ec [троянский]
Троянский загрузчик. Win32. Cryptic.f [троянский]
Троянский загрузчик. Win32. Tiny.y [троянский]
(описания N/A)

Панда:
Защита с TruePrevent механизмом
(malware называют или описание N/A)

McAfee:
[Троянский] загрузчик-AZP
[Троянский] загрузчик-AZQ
[Троянский] загрузчик-AZR

Microsoft OneCare:
TrojanDownloader:Win32/Agent. BBX [троянский]
TrojanDownloader:Win32/Agent. BBY [троянский]
TrojanDownloader:Win32/Agent. BBZ [троянский]
(описания N/A)

Это стоит из того, чтобы замечать, что 0-дневная уязвимость в офисных программах широко используется к индустриальному шпионажу в течение прошлых месяцев.

Q: Мой AV продавец не перечисляет названия{имена} этих типов в их Web-страницах. Как я знаю, что мое AV программное обеспечение защищает меня?
A: Возможно, что антивирусное программное обеспечение имеет защиту к этой угрозе, но malware база данных в их Web-странице не включает определенную рецензию все же из-за отсутствующей выборки и т.д. Лучший путь состоит в том, чтобы проверить{отметить} ситуацию от вашего AV продавца.
Этот документ будет модифицирован, чтобы включить новые назначенные названия{имена}.

Q: Есть ли Шторм Internet, выравнивают по центру документы, доступные о проблеме{выпуске}?
A: Да. Центр Шторма Internet (межсистемная связь) выпустил следующий вход Дневника: isc.sans.org/diary.php? storyid=1913

Q: Там любые консультации Службы компьютерной безопасности выпущены?
A: Центр Координации Службы компьютерной безопасности выпустил его предупреждение Примечания Уязвимости VU*167928 6-ого декабря в www.kb.cert.org/vuls/id/167928.
Дополнительно, несколько национальных модулей Службы компьютерной безопасности выпустили их собственные предупреждения.

Q: Какова CVSS Серьезность этой уязвимости?
A: CVSS (Общая{Обычная} Система Выигрыша Уязвимости) счет - 7.0 (Высоко).

Q: Там CME название{имя} к этому, имел отношение malware доступный?
A: Номер Общее{Обычное} Malware Перечисление (CME) проект не назначил идентификатор на этот malware.

Q: Windows Живет, безопасный Центр обнаруживает этот malware?
A: Эта информация не доступна. МОДИФИКАЦИЯ 8-ого декабря: Microsoft говорит Windows, оперативный OneCare Безопасный Сканер (в стадии Beta) обнаруживает этот malware.
Q: Каково имя файла злонамеренных документов, используемых в связанных случаях{делах} инфекции?
A: Эта информация не доступна.
Q: Там информация о размере файла используется?
A: Номер вложение Файла устанавливает размеры информации, не доступен.
Обновите{Модифицируйте}: По сообщениям размер файла изменяется.

Q: Каково содержание документа Word?
A: Снова, информация N/A.
Q: Любое пользовательское взаимодействие необходимо при открытии злонамеренного файла Word?
A: Номер Открытие уродливый файл Word вызывает уязвимость со злонамеренным кодом, внедренным в документе Word.

Q: Безопасно открыться, документы Word, исходящие из доверяли, известный отправитель в течение следующих дней?
A: Ответ - да и нет. В эти дни Вы не можете положить, что информация отправителя, включенная в приложенный файл Word сообщения правдива (если электронная почта использований нападавшего нападает на вектор также). Если Вы не уверены, Вы можете всегда звонить отправителю, если электронная почта, включая .DOC вложения прибывает неожиданно.
Дополнительно, возможно включить злонамеренные файлы Microsoft Word как внедренные файлы к файлам Microsoft Excel, или файлам Microsoft PowerPoint.

Q: Возможно, что злонамеренные файлы Word (.DOC расширение файла и т.д.) расположены в Web-страницах также?
A: Да. Возможно, что нападавшие могут определить местонахождение уродливых файлов Word к Web-страницам. Некоторые другие возможные векторы нападения - приложения IM, USB палки, сменные диски, гибкие диски и т.д.

Q: Документы Word фильтрации в сетевом периметре защищают меня?
A: Номер Обычно Windows будет, открытые файлы с информацией заголовка файла, то есть фильтрацией расширением{продлением} - не способ, которым Вы можете доверять.

Q: Что уязвимый компонент затрагивает эту уязвимость?
A: Эта информация не доступна, но вероятно ошибка находится в Winword.exe выполнимой программе непосредственно.

Q: Это - первый раз, когда уродливая строка в документе Word может вызвать государство{состояние} выполнения кода?
A: Номер исправления Microsoft Office, выпущенные в октябре (MS06-062 и MS06-060) включенные местоположения к этому типу проблем{выпусков} также.

Q: Когда местоположение к этой уязвимости ожидается?
A: Невозможно сказать. Microsoft сообщил, что они разрабатывают модификацию защиты для этой уязвимости. Следующие ежемесячные модификации защиты намечены до 12-ого декабря 2006.
Согласно уведомлению Microsoft наступающие ежемесячные модификации включают только Бюллетени Защиты Microsoft, затрагивающие Windows и Визуальную Студию. Связь{ссылка} к странице программы Advance Notification - www.microsoft.com/technet/security/bulletin/advance.mspx.

Q: Действительно ли там CVE название{имя} доступен этой проблеме{выпуску}?
A: Да. Общая{Обычная} Уязвимость и проект Дефектов (cve.mitre.org) освободили следующего CVE кандидата:
cve.mitre.org/cgi-bin/cvename.cgi? name=CVE-2006-5994

Q: Там любые изменения{замены} в - широко известные метры угрозы Internet продавцов защиты?
A: Да. Метр ThreatCon Симантека поднял к уровню 2/4 (Поднятый):
www.symantec.com/avcenter/threatcon/learnabout.html

IBM ISS AlertCon X-силы (Текущий Уровень Угрозы Internet) - на уровне 2/4 (Увеличенная бдительность) также:
https: // gtoc.iss.net/issEn/delivery/gtoc/index.jsp
Связь{Ссылка} на связанное предупреждение: iss.net/threats/W32.Downloader.MSWord.929433.html

ThreatCenter Глобальное Условие{Состояние} Угрозы Макафи в настоящее время на уровне 2/4 (Поднято) также:
www.mcafee.com/us/threat_center/default.asp

Q: Там rootkit методы включен в malwares, эксплуатирующий эту уязвимость?
A: Нет никакой доступной информации.

Q: Есть ли информация о начале координат связанных авторов malware?
A: Номер

Q: Там любые другие технические справочники выпущены?
A: Да. Microsoft Word консультации Макафи 0-дневная Уязвимость I и eEye Нулевой-дневный Буксир EEYEZD-20061205 был выпущен.

(c) Juha-Matti Laurio, Finland (UTC +2hrs)