Microsofts sikkerhetsveiledning 921365

  • Artikkel

Et sikkerhetsproblem i Excel kan tillate ekstern kjøring av kode

Publisert: 19. juni 2006 | Oppdatert: 21. juni 2006

Microsoft undersøker nye offentliggjorte rapporter om begrensede "zero-day"-angrep som utnytter et sikkerhetsproblem i Microsoft Excel 2003, Excel Viewer 2003, Excel 2002, Excel 2000, Microsoft Excel 2004 for Mac og Microsoft Excel v. X for Mac. For at dette angrepet skal kunne utføres, må brukeren først åpne en skadelig Excel-fil som er lagt ved i en e-post, eller som på en annen måte har nådd frem til brukeren fra angriperen.

Det anbefales at brukere alltid er svært forsiktige når de åpner uønskede vedlegg både fra kjente og ukjente kilder. Microsoft har lagt til oppdaging på Windows Live Safety Center i dag, slik at du kan utføre oppdatert fjerning av skadelig programvare som prøver å utnytte dette sikkerhetsproblemet.

Microsoft deler også informasjon med partnerne i Microsoft Security Response Alliance aktivt, slik at oppdagingen deres kan oppdateres og de kan oppdage og fjerne angrep.

Kunder i USA og Canada som tror de berøres av dette sikkerhetsproblemet, kan få teknisk støtte hos Microsoft Product Support Services på 1-866-PCSAFETY. Kundestøttesamtaler i forbindelse med sikkerhetsoppdateringer er gratis.

Internasjonale kunder kan få kundestøtte fra de lokale representasjonskontorene for Microsoft. Kundestøtte i forbindelse med sikkerhetsoppdateringer er gratis. Hvis du vil ha mer informasjon om hvordan du kontakter Microsoft med kundestøtteproblemer, går du til webområdet for internasjonal støtte.

Når undersøkelsene er avsluttet, iverksetter Microsoft de nødvendige handlingene for å beskytte våre kunder. Det kan være å tilby en sikkerhetsoppdatering gjennom den månedlige utgivelsesprosessen eller en sikkerhetsoppdatering utenfor syklusen, avhengig av kundenes behov.

Generell informasjon

Oversikt

Målet med veiledningen: Å varsle kunder på et tidlig tidspunkt om det offentliggjorte sikkerhetsproblemet. Du finner mer informasjon i delen om løsninger og begrensninger og Forslag til tiltak i sikkerhetsveiledningen.

Status for veiledningen: Problemet er bekreftet, sikkerhetsoppdatering er planlagt.

Anbefaling: Ikke åpne eller lagre Microsoft Excel-filer som du mottar fra ikke-klarerte kilder, eller som du mottar uventet fra klarerte kilder. Dette sikkerhetsproblemet kan utnyttes når en bruker åpner en fil.

Referanser Identifisering
CVE-referanse CVE-2006-3059

Denne veiledningen gjelder følgende programvare.

Berørt programvare
Microsoft Excel 2003
Microsoft Excel Viewer 2003
Microsoft Excel 2002
Microsoft Excel 2000
Microsoft Excel 2004 for Mac
Microsoft Excel v. X for Mac

Vanlige spørsmål

Hva behandles i veiledningen?
Microsoft er oppmerksom på en ny rapport om et sikkerhetsproblem som berører Microsoft Excel, en komponent i Microsoft Office. Dette sikkerhetsproblemet berører programvaren som vises på listen i delen Oversikt.

Er dette et sikkerhetsproblem som krever at Microsoft gir ut en sikkerhetsoppdatering?
Microsoft er i ferd med å fullføre utviklingen av en sikkerhetsoppdatering for Microsoft Excel som retter opp dette sikkerhetsproblemet.

Hva forårsaker sikkerhetsproblemet?
Det er en uriktig minnevalidering i Microsoft Excel.

Hvordan kan en angriper utnytte sikkerhetsproblemet?
I et webbasert angrepsscenario må angriperen være vert for et webområde som inneholder en Excel-fil som brukes til å prøve å utnytte dette sikkerhetsproblemet. En angriper kan ikke tvinge brukere til å besøke et skadelig webområde. I stedet må angriperen lokke brukeren til å besøke webområdet, vanligvis ved å få ham eller henne til å klikke en kobling som fører til angriperens område.

I et e-postangrepsscenario kan en angriper utnytte dette sikkerhetsproblemet ved å sende en spesiallaget fil til brukeren og overtale ham eller henne til å åpne filen.

Hvilke versjoner av Microsoft Office Excel berøres av denne veiledningen?
Denne veiledningen berører Microsoft Excel 2003, Excel Viewer 2003, Excel 2002, Excel 2000, Microsoft Excel 2004 for Mac og Microsoft Excel v. X for Mac.

Begrensende faktorer for sikkerhetsproblemet i Microsoft Excel som kan føre til ekstern kjøring av kode:

  • En angriper som klarer å utnytte dette sikkerhetsproblemet, kan oppnå samme brukerrettigheter som den lokale brukeren. Brukere med kontoer som er konfigurert med få brukerrettigheter på systemet, er mindre utsatt enn brukere som har administratorrettigheter.
  • Sikkerhetsproblemet kan ikke utnyttes automatisk via e-post i Excel 2002 og Excel 2003. For at et angrep skal være vellykket, må brukerne bekrefte at de velger Åpne, Lagre eller Avbryt for vedlegget som sendes i en e-postmelding, før sikkerhetsproblemet kan utnyttes.
  • Dette sikkerhetsproblemet kan ikke utnyttes automatisk via et webbasert angrepsscenario. En angriper må være vert for et webområde som inneholder en Office-fil som brukes til forsøk på å utnytte dette sikkerhetsproblemet. En angriper kan ikke tvinge brukere til å besøke et skadelig webområde. I stedet må angriperen lokke brukeren til å besøke webområdet, vanligvis ved å få ham til å klikke en kobling som fører til angriperens område.

Obs! I Excel 2000 blir ikke brukeren bedt om å velge Åpne, Lagre eller Avbryt før dokumentet åpnes.

Midlertidige løsninger for sikkerhetsproblemet i Microsoft Excel som kan føre til ekstern kjøring av kode:

Microsoft har testet de midlertidige løsningene nedenfor. Disse midlertidige løsningene blokkerer kjente angrepsvektorer, men de korrigerer imidlertid ikke det underliggende sikkerhetsproblemet. Hvis en midlertidig løsning reduserer funksjonaliteten, angis dette nedenfor.

I Excel 2003 kan du hindre reparasjonsmodus ved å endre tilgangskontrollisten til registernøkkelen for Excel-feiltoleranse.

Dette sikkerhetsproblemet kan utnyttes når reparasjonsmodus er aktivert for Excel. Hvis du hindrer at reparasjonsmodus aktiveres for Excel, hindrer du at sikkerhetsproblemet kan utnyttes i Excel 2003. Hvis du vil hindre at reparasjonsmodus aktiveres for Excel, må du endre innstillingene for tilgangskontrollistene ved hjelp av enten registerredigering eller gruppepolicy, slik at tilgangen til registernøkkelen fjernes for alle brukerkontoer. Hvis du vil gjøre dette manuelt, følger du denne fremgangsmåten:

Obs! Hvis Registerredigering brukes på feil måte, kan det føre til alvorlige problemer som gjør at operativsystemet må installeres på nytt. Microsoft kan ikke garantere at problemene som oppstår som følge av at Registerredigering brukes på feil måte, kan løses. Bruk Registerredigering på egen risiko. Du finner mer informasjon om hvordan du redigerer registeret, i hjelpeemnet Endre nøkler og verdier i Registerredigering (Regedit.exe) eller i hjelpeemnene Legge til og slette informasjon i registeret og Redigere registerdata i Regedt32.exe.

Obs! Det anbefales at du sikkerhetskopierer registeret før du redigerer det.

For Windows 2000

Obs! Noter tillatelsene som er oppført i dialogboksen, slik at du kan gjenopprette dem til originalverdiene senere.

  1. Klikk Start og Kjør, skriv regedt32 og klikk deretter OK.
  2. Utvid HKEY_CURRENT_USER, Software, Microsoft, Office, 11.0, Excel, og klikk deretter Resiliency. Hvis det ikke finnes noen nøkkel, oppretter du en.
  3. Merk nøkkelen, klikk Security, og klikk deretter Tillatelser.
  4. Fjern avmerkingen i boksen Tillat at arvbare tillatelser fra overordnet objekt overføres til dette objektet. Du blir bedt om å klikke Kopier, Fjern eller Avbryt. Klikk Fjern, og klikk deretter OK.
  5. Du mottar en melding om at ingen har adgang til denne registernøkkelen. Klikk Ja når du blir bedt om det.

For Windows XP Service Pack 1 eller nyere operativsystemer

Obs! Noter tillatelsene som vises i dialogboksen, slik at du kan gjenopprette dem til originalverdiene senere.

  1. Klikk Start, Kjør, skriv "regedit" (uten anførselstegn), og klikk OK.
  2. Utvid HKEY_CURRENT_USER, Software, Microsoft, Office, 11.0, Excel, og klikk deretter Resiliency. Hvis det ikke finnes noen nøkkel, oppretter du en.
  3. Klikk Rediger, og klikk deretter Tillatelser.
  4. Klikk Avansert.
  5. Klikk for å fjerne avmerkingen i boksen Arv tillatelsesoppføringer som gjelder underobjekter, fra det overordnede objektet. Inkluder disse med oppføringer som er definert eksplisitt her. Du blir bedt om å klikke Kopier, Fjern eller Avbryt. Klikk Fjern, og merk deretter OK.
  6. Du mottar en melding om at ingen har adgang til denne registernøkkelen. Klikk Ja, og klikk deretter OK for å lukke dialogboksen Tillatelser for denne registernøkkelen.

Hva løsningen kan føre til: Dokumentgjenopprettingsmodusen i Excel hjelper med å åpne skadede Excel-dokumenter. Når du har utført denne midlertidige løsningen, prøver ikke Excel å gjenopprette skadede Excel-dokumenter, og programmet fungerer kanskje ikke som det skal, når du åpner et misformet Excel-dokument. Hvis Excel er ustabilt etter at du har åpnet et misformet Excel-dokument, lukker du alle Excel-vinduer med Oppgavebehandling og starter Excel på nytt.

Hvis du vil hindre at Excel-dokumenter kommer direkte inn i et bedriftsnettverk, blokkerer du alle Excel- filtyper ved e-postens gateway.

Obs! Dette vil ikke beskytte mot andre angrepsvektorer, inkludert et webbasert angrep.

De følgende filtypene er Excel-filtyper som kan utnytte sikkerhetsproblemet, og som må blokkeres ved nettverksgrensen:

*.xls, *.xlt, *.xla, *.xlm, *.xlc, *.xlw, *.uxdc, *.csv, *.iqy, *.dqy, *.rqy, *.oqy, *.xll, *.xlb, *.slk, *.dif, *.xlk, *.xld, *.xlshtml, *.xlthtml, *.xlv

Blokker muligheten til å åpne Excel-dokumenter fra Outlook som vedlegg, fra webområder og direkte fra filsystemet ved å fjerne registernøklene som knytter Excel-dokumentene til Excel-programmet.

Excel-dokumenter kan åpnes automatisk i Excel ved å åpne dem som e-postvedlegg, ved å gå til webområder som prøver å laste inn Excel-dokumentene, og fra filsystemet eller fildelingsplasseringer ved å dobbeltklikke dokumentet. Hvis du fjerner registernøklene nedenfor, blokkeres disse angrepsvektorene ved at Excel-dokumenter hindres i å lastes inn direkte i Excel. Du fjerner nøklene ved å følge denne fremgangsmåten:

Obs! Selv om sikkerhetsproblemet finnes i Excel Viewer 2003, Excel 2002 og Excel 2000, har ikke det gjeldende problemet berørt disse programmene.

Obs! Hvis Registerredigering brukes på feil måte, kan det føre til alvorlige problemer som gjør at operativsystemet må installeres på nytt. Microsoft kan ikke garantere at problemene som oppstår som følge av at Registerredigering brukes på feil måte, kan løses. Bruk Registerredigering på egen risiko. Du finner mer informasjon om hvordan du redigerer registeret, i hjelpeemnet Endre nøkler og verdier i Registerredigering (Regedit.exe) eller i hjelpeemnene Legge til og slette informasjon i registeret og Redigere registerdata i Regedt32.exe.
.

  1. For Windows 2000
    Klikk Start, Kjør, skriv inn "regedt32" (uten anførselstegn), og klikk OK.

    For Windows XP Service Pack 1 eller nyere operativsystemer
    Klikk Start, Kjør, skriv inn "regedit" (uten anførselstegn), og klikk OK.

  2. Merk hver av registernøklene i listen nedenfor.

  3. Høyreklikk hver nøkkel, klikk Slett, og klikk Ja for å bekrefte slettingen.

    Obs! Avhengig av installasjonen finnes kanskje ikke enkelte av nøklene som er oppført nedenfor.

    Obs! Det anbefales at du sikkerhetskopierer alle registernøklene nedenfor hvis du må gjenopprette de slettede nøklene.

    HKEY_CLASSES_ROOT\Excel.Addin\shell
    HKEY_CLASSES_ROOT\Excel.Backup\shell
    HKEY_CLASSES_ROOT\Excel.Chart\shell
    HKEY_CLASSES_ROOT\Excel.Chart.8\shell
    HKEY_CLASSES_ROOT\Excel.CSV\shell
    HKEY_CLASSES_ROOT\Excel.DIF\shell
    HKEY_CLASSES_ROOT\Excel.Macrosheet\shell
    HKEY_CLASSES_ROOT\Excel.Sheet.8\shell
    HKEY_CLASSES_ROOT\Excel.SLK\shell
    HKEY_CLASSES_ROOT\Excel.Template\shell
    HKEY_CLASSES_ROOT\Excel.Workspace\shell
    HKEY_CLASSES_ROOT\Excel.XLL\shell
    HKEY_CLASSES_ROOT\Excelhtmlfile\shell
    HKEY_CLASSES_ROOT\Excelhtmltemplate\shell
    HKEY_CLASSES_ROOT\.xls
    HKEY_CLASSES_ROOT\.xlt
    HKEY_CLASSES_ROOT\.xla
    HKEY_CLASSES_ROOT\.xlm
    HKEY_CLASSES_ROOT\.xlc
    HKEY_CLASSES_ROOT\.xlw
    HKEY_CLASSES_ROOT\.uxdc
    HKEY_CLASSES_ROOT\.csv
    HKEY_CLASSES_ROOT\.iqy
    HKEY_CLASSES_ROOT\.dqy
    HKEY_CLASSES_ROOT\.rqy
    HKEY_CLASSES_ROOT\.oqy
    HKEY_CLASSES_ROOT\.xll
    HKEY_CLASSES_ROOT\.xlb
    HKEY_CLASSES_ROOT\.slk
    HKEY_CLASSES_ROOT\.dif
    HKEY_CLASSES_ROOT\.xlk
    HKEY_CLASSES_ROOT\.xld
    HKEY_CLASSES_ROOT\.xlshtml
    HKEY_CLASSES_ROOT\.xlthtml
    HKEY_CLASSES_ROOT\.xlv
    HKEY_CLASSES_ROOT\ExcelViewer.Chart.8\shell
    HKEY_CLASSES_ROOT\ExcelViewer.Macrosheet\shell
    HKEY_CLASSES_ROOT\ExcelViewer.Sheet.8\shell
    HKEY_CLASSES_ROOT\ExcelViewer.Template\shell
    HKEY_CLASSES_ROOT\ExcelViewer.Workspace\shell

    Hva løsningen kan føre til: Excel-dokumenter kan ikke lenger åpnes utenfor Excel-programmet. Hvis du vil vise Excel-dokumenter, åpner du Excel-programmet og laster inn dokumentet direkte ved å bruke Fil og Åpne.

Ikke åpne eller lagre Microsoft Excel-filer som du mottar fra ikke-klarerte kilder.

Dette sikkerhetsproblemet kan utnyttes når en bruker åpner en spesiallaget Excel-fil. Du kan fortsette å bruke Excel-filer fra klarerte kilder eller Excel-filer som du vet er klarert.

Forslag til tiltak

  • Beskytt din PC

    Vi fortsetter å oppmuntre kunder til å følge våre råd om beskyttelse av PCen og aktivere en brannmur, laste ned programvareoppdateringer og installere antivirusprogramvare. Kunder kan lese mer om dette på webområdet Beskytt din PC.

  • Kunder kan finne mer informasjon om sikkerhet på Internett påhjemmesiden for Microsoft-sikkerhet.

  • Kunder som tror de er angrepet, bør kontakte sitt lokale FBI-kontor eller legge inn en klage på webområdet for Internet Fraud Complaint Center. Kunder utenfor USA må kontakte lokale politimyndigheter i sitt eget land.

    Alle kunder bør bruke de nyeste sikkerhetsoppdateringene fra Microsoft for å bidra til å sikre at systemene er beskyttet mot forsøk på utnyttelse. Kunder som har aktivert Automatiske oppdateringer, mottar automatisk alle Windows-oppdateringer. Du finner mer informasjon om sikkerhetsoppdateringer på webområdet Microsoft Security.

  • Vi anbefaler at kunder er svært forsiktige når de aksepterer filoverføringer fra både klarerte og ikke-klarerte kilder. Hvis du vil ha mer informasjon om hvordan du kan beskytte datamaskinen når du bruker MSN Messenger, kan du gå til MSN Messengers webområde Vanlige spørsmål.

    Hold Windows oppdatert

  • Alle Windows-brukere bør bruke de nyeste Microsoft-sikkerhetsoppdateringene for å bidra til at datamaskinene har høyest mulig beskyttelse. Hvis du ikke er sikker på om programvaren er oppdatert, går du til webområdet Windows Update, søker etter tilgjengelige oppdateringer for datamaskinen og installerer alle høyt prioriterte oppdateringer som du får tilbud om. Hvis du har aktivert Automatiske oppdateringer, leveres oppdateringene til deg når de utgis, men du må påse at du installerer dem.

Annen informasjon

Ressurser:

Ansvarsfraskrivelse:

Informasjonen i denne veiledningen tilbys som den er, uten noen form for garanti. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.

Revisjoner:

  • (19. juni 2006): Veiledning publisert.
  • (21. juni 2006): Veiledning revidert for å oppdatere status for veiledningen og bringe mer klarhet rundt hva løsningen kan føre til, under delen I Excel 2003 kan du hindre reparasjonsmodus ved å endre tilgangskontrollisten til registernøkkelen for Excel-feiltoleranse, i delen Midlertidige løsninger for sikkerhetsproblemet i Microsoft Excel som kan føre til ekstern kjøring av kode.

Built at 2014-04-18T01:50:00Z-07:00