Microsoft sta investigando su una vulnerabilità zero-day di PowerPoint già sfruttata da un cavallo di Troia battezzato PPDropper.B . Il trojan, apparentemente di origine cinese, non risulta attualmente in circolazione.
Sebbene PPDropper.B non rappresti al momento una minaccia concreta, l’Internet Storm Center ( ISC ) di SANS Institute ha invitato utenti a amministratori di sistema a non abbassare la guardia: in circolazione vi sarebbero infatti almeno tre diversi exploit , e il numero potrebbe crescere di giorno in giorno. Attualmente gli exploit analizzati dagli esperti possono soltanto causare il crash di PowerPoint, ma PPDropper ha già dimostrato come sia possibile sfruttare la falla che affligge la celebre applicazione di Office per eseguire del codice maligno.
Microsoft, dal canto suo, tiene a sottolineare come il bug non possa essere sfruttato da worm o altri malware in grado di autoreplicarsi : per infettare un PC, infatti, il file dannoso deve prima essere aperto dall’utente. Il big di Redmond, che ha dedicato al problema questo post , ricorda poi come le più recenti versioni di Outlook mostrino un avviso di sicurezza prima di eseguire un qualsiasi file di Office.
Nonostante questi fattori mitiganti, sia FrSIRT che Secunia hanno assegnato al problema il massimo livello di gravità , invitando gli utenti a non aprire file “.ppt” di cui non conoscano con certezza la provenienza.
Gli esperti sostengono che la vulnerabilità di PowerPoint ricorda da vicino quelle appena corrette da Microsoft in Excel, anch’esse sfruttabili da un malintenzionato per infilare malware all’interno di documenti apparentemente normali. Ancor più interessante notare come, per la seconda, i cracker abbiano diffuso exploit per una vulnerabilità zero-day a pochi giorni di distanza dalle “patch del martedì” di Microsoft: evidentemente sperano che la vulnerabilità rimanga senza correzione per almeno un altro mese. Fino ad oggi, infatti, è accaduto assai di rado che Microsoft rilasciasse una patch al di fuori del proprio ciclo mensile di pubblicazione dei bollettini di sicurezza.
Durante lo scorso week-end FrSIRT ha pubblicato anche un advisory in cui riporta la presenza di alcune vulnerabilità in MS Works , debolezze sfruttabili da un aggressore per mandare in crash le applicazioni della suite o per eseguire del codice a propria scelta.