Existe una vulnerabilidad de desbordamiento de búfer basado en pila en Microsoft Office la cual se ha descubierto recientemente que ha sido explotada activamente in the wild(léase, activos en el mundo real). Trend Micro ya detecta el exploit de archivos .RTF como TROJ_ARTIEF.SM y en su Malware Blog alertan de esta situacion.

Código shell extraído de un archivo .RTF malicioso

El archivo malicioso .RTF tiene códigos shell diseñado para desbordamiento de la pila y hacer que Microsoft Word se bloquee. Como resultado, los usuarios malintencionados pueden ejecutar código arbitrario en un sistema afectado. En la pantalla de arriba, podemos ver que el malware ha empleado una traza (NOP) para desbordar el búfer y ejecutar código en el contexto de Microsoft Word. En el malware encontrado por Trend Micro cayó otro archivo malicioso detectado como TROJ_INJECT.ART.

Una de las preocupaciones más graves es que un usuario malicioso podría enviar un correo electrónico RTF a los usuarios de destino. Desde que Microsoft Outlook utiliza Word para controlar los mensajes de correo electrónico, el mero hecho de abrir ó ver mensajes especialmente diseñados en el panel de lectura puede hacer que el código de explotación se ejecute. Microsoft ya ha publicado una actualización para hacer frente a la vulnerabilidad. A los usuarios se le recomienda descargar e instalar el parche, que se puede encontrar en el boletín oficial de MS10-087 el cual se publicó como parte de la revisión de noviembre 2010.

Traducción: Velcro

Fuente: Malware Blog Trend Micro

Anuncios