Det danske sikkerhetsselskapet CSIS melder at det fra flere uavhengige kilder har mottatt eksempler som bekrefter at en sårbarhet aktivt utnyttes i Microsofts regnearkprogram, Excel. Sårbarhetene skal minne en del om en alvorlig sikkerhetshull som i mai ble oppdaget i Word, og som ble tettet i en sikkerhetsoppdatering Microsoft har gitt ut denne uken.
Les også:
- [12.07.2006] Tetter åtte sikkerhetshull i Excel
- [07.07.2006] Microsoft med en håndfull nye sikkerhetsfikser
- [20.06.2006] Nok et sikkerhetshull i Excel
- [14.06.2006] Lukker rekordmange sikkerhetshull
- [22.05.2006] Alvorlig Word-sårbarhet utnyttes aktivt
Sårbarheten, som ennå ikke er blitt analysert ferdig, skal allerede utnyttes aktivt av en spesielt utformet regnearkfil som sendes som vedlegg til e-post. Regnearket inkluderer angrepskode som vil kjøres hvis brukeren er litt uforsiktig. Den vedlagte Excel-filen har i tilfellene som til nå er blitt dokumentert, hatt navnet "okN.xls".
Når denne filen åpnes, oppstår en overflytsfeil i en buffer i Excel som gjør det mulig å kjøre shellkode. Denne koden plassere filen "svc.exe" i systemmappen til Windows og tvinger deretter Excel til å lukke.
"svc.exe" starter samtidig nedlasting av mer kode fra en maskin med IP-adressen "210. 6.90.153". Denne maskinen hører trolig hjemme i Hong Kong.
For øyeblikket skal ikke filen som "svc.exe" forsøker å nedlaste ned, være tilgjengelig. Blir den tilgjengelig, vil den ifølge CSIS lastes ned som c:\temp.exe og kjøres av "svc.exe".
CSIS anbefaler at man blokkerer tilgangen til den aktuelle IP-adressen i brannmurer. Ytterligere informasjon fra selskapets finnes på denne siden. Microsoft har bekreftet eksistensen av sårbarheten her.