Per Hellqvist om IT-säkerhet och sånt

Nu larmas det för att en hittills okänd sårbarhet i Word-dokument aktivt utnyttjas. Än så länge är det i vissa riktade attacker, men det varnas ändå utifallatt det skulle komma att breddas.

Det som händer är till exempekl att det kommer ett dokument bifogat till e-posten. När man öppnar dokumentet exekverar exploiten och installerar en trojan på datorn. Trojanen öppnar upp en bakdörr vilket ger attackeraren möjlighet att ansluta till datorn och ta kontroll över den. Efter detta kan han göra lite vad han vill:

Efter detta kraschar Word och och ett annat dokument och visas för användaren för att personen inte skall misstänka att något är fel.

Enligt uppgift fungerar exploiten under Word XP och Word2003.

Alltså, nån har upptäckt en sårbarhet och inte talat om det för omvärlden. Detta är uselt och lågt. Men man förstår varför de gör det. Nu har man alltså ensamt tillträde till ett säkerhetshål som finns på de allra flesta moderna datorer. Det enda man behöver göra är att lura användare att klicka på en fil som bifogats ett mejl. Att det för det mesta fungerar över förväntan har vi sett alltsedan masspostande maskar blev populära runt millennieskiftet.

Nu lite goda och lite dåliga nyheter. Enligt Microsofts säkerhetsblogg har man en preliminär patch på gång (goda nyheter) och under intern test. Man avser just nu att släppa den nästa “patch tuesday” den 13 juni (dåliga nyheter). Håll tummarna för att situationen inte förvärras.

Det finns ju alltid möjlighet att detta blir en engångsföreteelse och att man inte kommer att utnyttja denna exploit igen. Men, å andra sidan finns ju möjligheten att grisar kan flyga.

Skämt åsido, faktum är att det enda fall som rapporterats (när detta skrivs) kommer alltså från en riktad attack mot ett företag. Mejlet är utformat att se internt ut för att få användarna att sänka garden och klicka på den bifogade filen.

Attacken kommer förmodligen från Kina och Taiwan. Man har följt spåren tillbaka dit, domäner är registrerade där etc. Det verkar nu som om attackeraren vet att han är avslöjad, för han vidtar åtgärder för att byta IP adress lite då och då.

Säkerhetsprogrammen pumpar ut nya uppdateringar just nu. Informationen stabiliserar sig och jag ska försöka återkomma när något nytt dyker upp. Under tiden kan ni läsa mer här:

Så – uppdatera skyddsprogram, se upp med dokumentfiler du inte väntar på och utbilda/varna användarna om det möjliga problemet.

Taggar: Uncategorized

Kommentarer

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.