Il team del Microsoft Security Response Center ha pubblicato sul suo blog ufficiale una nota di commento alle recenti segnalazioni riguardanti problemi di sicurezza in Microsoft Excel, prodotto interessato nell'ultima settimana da 3 diverse vulnerabilità, tutte accompagnate da codici PoC exploit pubblici. Dalle parole del team si evince che solo una vulnerabilità (la prima) interessa nello specifico Excel. La seconda risiede in una componente di Windows e può essere sfruttata tramite documenti Office creati ad arte per l'attacco, mentre la terza non è una vera vulnerabilità ma una funzionalità di Office che può essere sfruttata da malintenzionati in maniera impropria.

Traduzione del blog entry, con link alle precedenti news relative a ciascuna vulnerabilità:
"Stiamo attualmente analizzando tre problemi riguardanti Microsoft Excel.  1  Il primo riguarda una vulnerabilità nel software specifico Excel. Questo problema è stato identificato come CVE-2006-3059 (l'identificatore di vulnerabilità viene incluso nei bollettini e advisory di sicurezza e torna molto utile per differenziare i vari problemi). Abbiamo rilasciato il Security Advisory 921365 Lunedì scorso per offrire una completa overview della vulnerabilità, con fattori attenuanti e workaround.

 Excel: Falla Critica e Attacchi  -  MSA 921365 su Falla 0-Day in Excel 

Un paio di note importanti: i clienti che usano Excel 2002 (incluso in Office XP) o Excel 2003 (incluso in Office 2003) ricevono una notifica prima di poter aprire un allegato dalla posta o da una pagina web, quindi consigliamo di prestare molta attenzione prima di aprire file non richiesti; inoltre nell'advisory sono incluse le informazioni su come modificare l'Access Control List (ACL) di una chiave di registro che può bloccare i tentativi di exploit in Excel 2003 … Il team di Office sta attualmente testando gli aggiornamenti per la correzione del problema, e prevediamo di renderli disponibili l'11 Luglio prossimo, o prima.

 2  Un altro problema è stato segnalato ad inizio settimana, e lo abbiamo già discusso in questo post. Questa vulnerabilità risiede in un componente di Windows, Hlink.dll, ma interessa in particolare gli utenti che aprono documenti Office modificati ad arte, e poi cliccano su un link all'interno di questi. I clienti di Office XP o Office 2003 riceveranno lo stesso avviso descritto in CVE-2006-30059 all'apertura dei documenti, quindi stare attenti in questo caso aiuta molto. Tuttavia, nel nostro test del codice exploit pubblico, abbiamo notato che dopo aver aperto il documento, affinché l'attacco venga condotto con successo, è necessario che l'utente clicchi su un link all'interno del file, e in questo caso riceverà un ulteriore avviso che chiederà conferma dell'apertura della URL ... La destinazione dalla URL include il codice di attacco e non appare come legittima. Per questo motivo un attacco condotto con successo necessita di affidarsi al social engineering. Questo non ci ha fermato dal lavorare sul problema. Stiamo attualmente testando un fix e i workaround per i clienti.

 Ancora Una Falla 0-Day per Excel  -  Falla Excel Affligge Windows  -  Excel: Terza Falla 

 3  La terza vulnerabilità è stata segnalata Martedì scorso e riguarda un metodo che consente di caricare un controllo ActiveX all'interno di un documento Office. Il codice exploit pubblico è un esempio che riguarda un documento Excel, quindi su questo c'è stata un po' di confusione. Il comportamento avviene by design e non rappresenta in se un rischio di sicurezza per i clienti. Tuttavia, un attacker potrebbe usare questa funzionalità per caricare automaticamente un controllo ActiveX già presente nel sistema dell'utente tramite un documento Office. È importante notare che non si tratta di una vulnerabilità e che le versioni recenti di Office rispettano la funzionalità "killbit" di Windows che impedisce il caricamento di controlli ActiveX vulnerabili quando viene impostato un bit di interruzione attraverso un bollettino di sicurezza Microsoft. Attualmente non siamo a conoscenza di controlli ActiveX che possono consentire l'esecuzione di codice da remoto in questo contesto o di altri tentativi di usare questo metodo di attacco o di altro tipo di impatto per i clienti. Continueremo a indagare le segnalazioni pubbliche per fornire ulteriore assistenza ai clienti qualora fosse necessario".