Secondo quanto diramato dall’azienda per la sicurezza informatica Symantec, la vulnerabilità insita in Snapshot Viewer, utility fornita con Microsoft Office per visualizzare uno snapshot dei report di Access, e venuta alla luce di recente grazie ad un bollettino di sicurezza pubblicato dalla stessa Microsoft, potrebbe rivelarsi più pericolosa di quanto già non fosse. Tale vulnerabilità sarebbe infatti ora riconosciuta e sfruttata da una variante di Neosploit, un toolkit utilizzato dagli hacker meno esperti per veicolare attacchi malevoli, permettendo così di raggiungere un numero ancor più elevato di vittime.
La falla, insita nel controllo ActiveX snapview.ocx presente all’interno di tutte le versioni di Microsoft Office Access (eccetto Microsoft Office Access 2007), permette il download automatico di file all’interno del computer nel caso l’utente visiti alcuni siti Web malevoli e il pieno controllo del sistema posto sotto attacco. Microsoft non ha ancora rilasciato una patch correttiva, rendendo la maggior parte degli utenti del pacchetto Office potenziali vittime di tale tipologia di attacco.
Sean Hittel, membro dello staff di Symantec, spiega in un post presente nel blog della società: «l’attacco consiste in un blocco criptato che è simile ad alcune varianti di Mpack. Questo encoder principale è al servizio dell’exploit di Access Snapshot. Una volta tentato l’exploit, l’utente si trova dinnanzi ad un iframe malevolo che reindirizza l’utente verso una copia di Neosploit. Questo aggiunge un Access Snapshot exploit al repertorio di Neosploit, anche se in un modo inusuale».
Gli attacchi in grado di sfruttare le falle presenti all’interno di componenti ActiveX vengono generalmente condotti attraverso siti Web che sono stati a loro volta vittime di iniezioni SQL; data la recente massiccia diffusione all’interno della rete di iniezioni SQL maligne, potrebbe trattarsi anche di portali famosi e apparentemente sicuri. Hittel raccomanda pertanto tutti gli utenti di Internet Explorer (anche chi non ha installato Snapshot Viewer) di effettuare un aggiornamento delle firme IPS e di impostare il kill bit menzionato nel bollettino di sicurezza Microsoft al fine di disabilitare la componente sotto accusa.