Situazione di estremo pericolo in casa Microsoft. Nelle ultime ore è stato diramato il Microsoft Security Advisory (968272) con il quale il gruppo avverte gli utenti utilizzanti l’applicazione Excel del pacchetto Office: un exploit estremamente pericoloso è stato scoperto in rete e la vulnerabilità non è al momento risolvibile con alcuna patch.
Il giudizio estremo espresso sulla pericolosità della vulnerabilità è condiviso tanto da Microsoft quanto da Secunia (SA33954): essendo l’exploit già pubblicamente disponibile in rete, entro poche ore potrebbe essere strutturato un attacco in grado di farsi massivo colpendo l’utenza giocoforza indifesa. Microsoft comunica di essere attivamente in contatto con i gruppi Microsoft Active Protections Program (MAPP) e Microsoft Security Response Alliance (MSRA) per concordare la miglior politica d’azione in questa fase di emergenza che precede la distribuzione della specifica patch.
Il bug permette l’esecuzione di codice da remoto spingendo semplicemente l’utente ad aprire un file Excel appositamente creato. L’utente può difendersi soltanto prestando estrema attenzione ai link che visita ed ai file che apre: l’exploit non può infatti essere spinto in automatico via mail (è comunque richiesta l’azione dell’utente nell’apertura dell’allegato infetto), ed inoltre in caso di successo il codice potrà essere eseguito solo a parità di permessi con l’utente (dunque un uso di bassi privilegi è un espediente utile a mitigare il pericolo).
Coinvolti dal problema Microsoft Office 2000, 2002, 2003 e 2007 su piattaforma Windows e Microsoft Office 2004 e 2008 su Mac. La scoperta del problema è accreditata a Symantec, la cui descrizione riesce a dettagliare ogni caratteristica della prima ondata di attacchi battezzando il codice sotto il nome di Trojan.Mdropper.AC.
Microsoft non ha al momento deciso alcunché circa le modalità di reazione da opporre all’exploit, e tramite il proprio bollettino tiene aperta ogni soluzione. Due le vie teoriche papabili: il rilascio di una patch al di fuori del ciclo mensile di aggiornamento (caso raro e tendenzialmente evitato dal gruppo se non in caso di minaccia estrema ed immediata), oppure il rilascio della patch all’interno del ciclo mensile che vede il prossimo Patch Day previsto per il 10 Marzo. Alla luce della distanza temporale tra la scoperta dell’exploit ed il giorno indicato per il rilascio delle patch, è a questo punto però prevedibile un’azione anticipata e solerte.
La velocità dell’infezione e la gravità della stessa saranno i parametri che Microsoft valuterà per effettuare la propria scelta. Occorre ricordare come il mancato aggiornamento dei sistemi sta ad oggi già fecondando il propagarsi del worm Conficker: il nuovo problema potrebbe aggiungersi al precedente, e solo una immediata collaborazione da parte degli utenti in fase di update può evitare al sistema di lasciare pericolose porte aperte alle offese provenienti da remoto.