Excel-gat heeft al 0-day malware

Dat heeft Microsoft gisteravond bevestigd met een beveiligingsbericht. Maandag is al de eerste melding gepubliceerd op nieuwsportal Securityfocus, een dochter van Symantec. Dat beveiligingsbedrijf constateert dat het lek gebruikt wordt om een Trojan, Trojan.Mdropper.AC, op het doelsysteem te installeren.

Deze malware-downloader komt niet veel voor en krijgt daarom een risiscowaardering van 'zeer laag'. Het is echter wel een 0-day exploit omdat een patch voor dit lek in Excel nog niet beschikbaar is.

Valse spreadsheet

Symantec maakt details over het lek uiteraard niet bekend, behalve de mededeling dat het valt uit te buiten met een speciaal geprepareerd .xls-bestand. De exploit maakt het mogelijk om willekeurige code te draaien op het moment dat de gebruiker de 'spreadsheet' opent. Een aanval via de webbrowser is ook mogelijk, door met een link naar het besmette bestand te verwijzen.

Code die wordt uitgevoerd, krijgt dezelfde toegang als de gebruiker die op dat moment is ingelogd. Gebruikers met beheerrechten (admin) lopen dus meer risico. Dit geldt voor 92 procent van alle malware. Zowel Windows XP als Vista zijn vatbaar, terwijl het lek zelf aanwezig is in alle huidige versies van Office. Dit omvat dus ook die voor Mac OS X (Office 2004 en 2008). Over eventuele aanvallen op Apple-systemen wordt niets gemeld.

Voorlopige maatregel

Microsoft laat in zijn beveiligingsbericht nog niet bekend wanneer het met een patch komt. Dat kan gebeuren in de maandelijkse patchronde (de volgende is dinsdag over twee weken), of toch met een tussentijdse ('out of bound') patch.

Als voorlopige maatregel geeft de softwareproducent het advies om vooral geen Office-bestanden van onbekende bronnen te openen, wat überhaupt een logisch advies is. Indien gebruikers toch Office-documenten van onbekende herkomst willen openen, adviseert Microsoft dat dan te doen in de MOICE-omgeving (Microsoft Office Conversion Environment). Beheerders kunnen eventueel een File Open Block-policy instellen in het register.