Security Advisory 968272 - haavoittuvuus Excelissä
Microsoft on julkaissut uuden Security Advisoryn numeroltaan 968272 ja otsikoltaan Vulnerability in Microsoft Office Excel Could Allow Remote Code Execution. Advisory koskee Excel-taulukkolaskentaohjelmassa raportoitua haavoittuvuutta. Haavoittuvuus on parhaillaan Microsoft Security Response Centerin tutkinnassa ja siihen tehdään ja julkaistaan korjaus, mikäli tutkimuksen tulos sille antaa aihetta.
Tämän hetkisen tiedon mukaan haavoittuvuus koskee seuraavia Excelin versioita:
- Microsoft Office Excel 2000 (Service Pack 3)
- Microsoft Office Excel 2002 (Service Pack 3)
- Microsoft Office Excel 2003 (Service Pack 3)
- Microsoft Office Excel 2007 (Service Pack 1)
- Microsoft Office Excel Viewer
- Microsoft Office Excel Viewer 2003
- Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats (Service Pack 1)
- Microsoft Excel 2004 for Mac
- Microsoft Excel 2008 for Mac
Hyökkääjä voi hyödyntää haavoittuvuutta houkuttelemalla käyttäjän avaamaan tietyllä tavalla muotoillun Excel-tiedoston joko selaimen tai sähköpostin välityksellä. Tästä aiheutuu muistivirhe, mikä antaa hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia järjestelmässä. Ohjelmakoodi suoritetaan järjestelmään kirjautuneen käyttäjän oikeuksilla.
Haavoittuvuuteen ei siis ole korjausta vielä olemassa - mitä voin tehdä haavoittuvuuden aiheuttaman riskin pienentämiseksi?
- Riskiä voidaan pienentää asentamalla Officeen tehty Isolated Conversion Environment eli MOICE. Lisätietoja on Security Advisoryn kohdassa Suggested Actions, mistä löytyy myös huomautuksia tämän menetelmän haittapuolista.
- Jos käytössä on Office 2000, kannattaa myös tutustua täältä löytyvään Office 2000:n lisäkomponenttiin, jonka asennuksen jälkeen mm. Excel kysyy käyttäjältä vahvistuksen tiedoston avaukselle. Tämä ei suojaa kokonaan haavoittuvuuden hyödyntämiseltä, mutta estää esim. webbisivuston kautta tapahtuvan tiedoston avaamisen ilman, että käyttäjälle huomautetaan asiasta.
- Kannattaa ohjeistaa käyttäjille, että tuntemattomista lähteistä peräisin olevia, sähköpostin välityksellä vastaanotettuja Excel-tiedostoja ei saa avata, tai vähintäänkin ne kannattaa ensin tallentaa koneen levylle, jolloin virustorjuntaohjelma mahdollisesti tunnistaa haavoittuvuuden hyödyntämisen.
- Lisäksi kannattaa muistaa, että haavoittuvuuden kautta suoritettava ohjelmakoodi suoritetaan kirjautuneen käyttäjän oikeuksilla, eli kannattaa varmistaa, että käyttäjällä on mahdollisimman vähän oikeuksia käytössään.
Päivitys: Microsoftin Malware Protection Center on julkaissut lisätietoja blogissaan Excel-haavoittuvuuden tunnistamisesta virustorjuntaohjelmistoissa. Kannattaakin varmistaa omalta virustorjuntaohjelmiston valmistajalta, että myös siihen on päivitetty ajan tasalla oleva tunnistus Excel-haavoittuvuuden varalta. Myös Security Research & Defense -blogissa on päivitettyjä tietoja haavoittuvuudesta.