[NEWS] Access, vulnerabilità ancora più critica

c.m.g · 15-07-2008, 18:06

15 Luglio 2008 ore 11:32 di: Tullio Matteo Fanti

Spoiler:

Quote:

Secondo alcuni ricercatori Symantec, la vulnerabilità insita in Snapshot Viewer, venduto con tutte le versioni di Microsoft Office Access, viene ora identificata e sfruttata dal toolkit 'genera malware' Neosploit, rendendo tale falla ancora più pericolosa

Secondo quanto diramato dall'azienda per la sicurezza informatica Symantec, la vulnerabilità insita in Snapshot Viewer, utility fornita con Microsoft Office per visualizzare uno snapshot dei report di Access, e venuta alla luce di recente grazie ad un bollettino di sicurezza pubblicato dalla stessa Microsoft, potrebbe rivelarsi più pericolosa di quanto già non fosse. Tale vulnerabilità sarebbe infatti ora riconosciuta e sfruttata da una variante di Neosploit, un toolkit utilizzato dagli hacker meno esperti per veicolare attacchi malevoli, permettendo così di raggiungere un numero ancor più elevato di vittime.

La falla, insita nel controllo ActiveX snapview.ocx presente all'interno di tutte le versioni di Microsoft Office Access (eccetto Microsoft Office Access 2007), permette il download automatico di file all'interno del computer nel caso l'utente visiti alcuni siti Web malevoli e il pieno controllo del sistema posto sotto attacco. Microsoft non ha ancora rilasciato una patch correttiva, rendendo la maggior parte degli utenti del pacchetto Office potenziali vittime di tale tipologia di attacco.

Sean Hittel, membro dello staff di Symantec, spiega in un post presente nel blog della società: «l'attacco consiste in un blocco criptato che è simile ad alcune varianti di Mpack. Questo encoder principale è al servizio dell'exploit di Access Snapshot. Una volta tentato l'exploit, l'utente si trova dinnanzi ad un iframe malevolo che reindirizza l'utente verso una copia di Neosploit. Questo aggiunge un Access Snapshot exploit al repertorio di Neosploit, anche se in un modo inusuale».

Gli attacchi in grado di sfruttare le falle presenti all'interno di componenti ActiveX vengono generalmente condotti attraverso siti Web che sono stati a loro volta vittime di iniezioni SQL; data la recente massiccia diffusione all'interno della rete di iniezioni SQL maligne, potrebbe trattarsi anche di portali famosi e apparentemente sicuri. Hittel raccomanda pertanto tutti gli utenti di Internet Explorer (anche chi non ha installato Snapshot Viewer) di effettuare un aggiornamento delle firme IPS e di impostare il kill bit menzionato nel bollettino di sicurezza Microsoft al fine di disabilitare la componente sotto accusa.

Fonte: WebNews

c.m.g · 15-07-2008, 18:07

riscontro su secunia:

http://secunia.com/advisories/30883/

GmG · 15-07-2008, 22:50

Neosploit è utilizzato da MBR Rootkit (SINOWAL) e dall'Asprox Botnet (script b.js e ngg.js)

L'exploit è utilizzato anche negli script di Gromozon

15-07-2008, 18:07	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	riscontro su secunia: http://secunia.com/advisories/30883/ __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

15-07-2008, 22:50	#3
GmG Senior Member Iscritto dal: Aug 2006 Città: Riviera del Brenta Messaggi: 2057	Neosploit è utilizzato da MBR Rootkit (SINOWAL) e dall'Asprox Botnet (script b.js e ngg.js) L'exploit è utilizzato anche negli script di Gromozon

Strumenti
Mostra una versione stampabile Invia questa pagina per email