Aviso de Segurança da Microsoft 921365

Vulnerabilidade no Excel poderia permitir Execução Remota de Código

Data de publicação: 19 de junho de 2006 | Updated: 21 de junho de 2006

A Microsoft está a investigar novos relatórios públicos de ataques limitados do tipo “zero-day” usando uma vulnerabilidade existente no Microsoft Excel 2003, Excel Viewer 2003, Excel 2002, Excel 2000, Microsoft Excel 2004 para Mac e Microsoft Excel v. X para Mac. Para que este ataque seja executado, um utilizador tem de, em primeiro lugar, abrir um documento Excel nocivo, anexo a uma mensagem de correio electrónico, ou divulgada por outra forma pelo intruso.

Como procedimento de segurança, os utilizadores devem ter sempre muito cuidado ao abrir anexos não solicitados, tanto de fontes conhecidas como desconhecidas. A Microsoft adicionou hoje capacidades de detecção ao Windows Live Safety Center para a remoção actualizada de software malicioso que tenta explorar esta vulnerabilidade.

A Microsoft também está a partilhar activamente informações com os parceiros da Microsoft Security Response Alliance, para que a detecção dos seus produtos seja actualizada o sentido de detectar e remover ataques.

Os clientes nos E.U.A e no Canadá que possam ter sido afectados podem receber suporte técnico a partir do site de Suporte Técnico da Microsoft em 1-866-PCSAFETY. As chamadas de suporte técnico associadas a actualizações de segurança são gratuitas.

Os clientes internacionais podem receber suporte das subsidiárias locais da Microsoft. O suporte técnico associado às actualizações de segurança é gratuito. Para mais informações sobre como contactar a Microsoft relativamente a questões de suporte, visite o Web site de Suporte Internacional.

Após conclusão desta investigação, a Microsoft executará as acções necessárias para ajudar a proteger os nossos clientes. Isto pode incluir o fornecimento de uma actualização de segurança através do nosso processo de publicação mensal ou pelo fornecimento de uma actualização de segurança fora do ciclo regular, dependendo das necessidades dos clientes.

Informações Gerais

Objectivo do Aviso: Fornecer aos clientes um aviso inicial relativo a uma vulnerabilidade divulgada publicamente. Consulte as secções "Soluções alternativas e atenuações" e "Acções Sugeridas" do aviso de segurança para mais informações.

Estado do Aviso: Questão confirmada; Actualização de segurança planeada.

Recomendação: Não abra ou guarde ficheiros Microsoft Excel que tenha recebido de fontes não-fidedignas, ou que recebeu de fontes fidedignas, mas que de alguma forma não correspondem ao que é habitual. É possível tirar partido desta vulnerabilidade quando um utilizador abre um ficheiro.

ReferênciasIdentificação
Referência CVE CVE-2006-3059

Este aviso abrange o seguinte software.

Software Relacionado
Microsoft Excel 2003
Microsoft Excel Viewer 2003
Microsoft Excel 2002
Microsoft Excel 2000
Microsoft Excel 2004 para Mac
Microsoft Excel v. X para Mac

Qual é a abrangência deste aviso?
A Microsoft teve conhecimento de um novo relatório de vulnerabilidade que afecta o Microsoft Excel, que é um componente do Microsoft Office. Esta vulnerabilidade afecta o software listado na secção “Visão Geral”.

Esta é uma vulnerabilidade de segurança que requer que a Microsoft publique uma actualização de segurança?
A Microsoft está a concluir o desenvolvimento de uma actualização de segurança para o Microsoft Excel que resolve esta vulnerabilidade.

O que provoca a vulnerabilidade?
Existe uma validação de memória imprópria no Microsoft Excel.

Como poderia um intruso explorar a vulnerabilidade?
Num cenário de ataque com base na Web, um intruso teria de alojar um Web site contendo um ficheiro do Excel que fosse utilizado para tentar explorar esta vulnerabilidade. Um intruso não conseguiria obrigar os utilizadores a visitarem um Web site mal intencionado. Em vez disso, um intruso teria de persuadir os utilizadores a visitar o Web site, normalmente conseguindo que clicassem numa hiperligação que os levasse ao site do intruso.

Num cenário de ataque com base em correio electrónico, um intruso poderia explorar a vulnerabilidade enviando um ficheiro especialmente concebido para o efeito ao utilizador e persuadindo-o a abrir o ficheiro.

Que versões do Microsoft Office Excel estão associadas a este aviso?
Este aviso destina-se ao Microsoft Excel 2003, Excel Viewer 2003, Excel 2002, Excel 2000, Microsoft Excel 2004 para Mac e Microsoft Excel v. X para Mac.

  • Um intruso que explore com sucesso esta vulnerabilidade poderia obter os mesmos privilégios que o utilizador local. Os utilizadores cujas contas estão configuradas com direitos de utilização reduzidos no sistema podem ser menos afectados do que os utilizadores que trabalham com direitos de utilização de administrador.
  • No Excel 2002 e Excel 2003, a vulnerabilidade não pode ser automaticamente explorada através de correio electrónico. Para um ataque poder ser bem sucedido, o utilizador terá de confirmar que pretende Abrir, Guardar ou Cancelar o anexo enviado numa mensagem de correio electrónico antes de ocorrer a exploração.
  • Esta vulnerabilidade não pode ser automaticamente explorada através de um cenário de um ataque baseado na Web. Um intruso teria de alojar um Web site contendo um ficheiro do Office que fosse utilizado para tirar partido desta vulnerabilidade. Um intruso não conseguiria obrigar os utilizadores a visitarem um Web site mal intencionado. Em vez disso, um intruso teria de persuadi-los a visitar o Web site, normalmente conseguindo que clicassem numa hiperligação que os levasse ao site do intruso.

Nota O Excel 2000 não solicita ao utilizador para Abrir, Guardar, ou Cancelar antes de abrir um documento.

A Microsoft testou as seguintes soluções alternativas. Apesar de estas soluções alternativas não corrigirem a vulnerabilidade subjacente, elas ajudam a bloquear vectores de ataque conhecidos. Na secção seguinte identificam-se os casos em que uma solução alternativa reduz a funcionalidade.

No Excel 2003, evite o modo Reparar do Excel, modificando a lista de controlo de acesso (ACL) para a chave de registo de resistência do Excel

Esta vulnerabilidade é explorada quando o Excel entra no modo de reparação. Evitar que o Excel entre no modo de reparação pode bloquear a exploração da vulnerabilidade no Excel 2003. Para evitar que o Excel entre no modo de reparação, altere as definições das listas de controlo de acesso (ACL) utilizando o editor de registo, ou uma política de grupo, para impedir que todas as contas de utilizador tenham acesso à chave de registo. Para fazer isto manualmente, siga estes passos:

Nota A utilização incorrecta do Editor de Registo pode provocar problemas graves que podem vir a obrigar à reinstalação do sistema operativo. A Microsoft não pode garantir que os problemas resultantes da utilização incorrecta do Editor de Registo possam ser resolvidos. A utilização do Editor de Registo é da sua responsabilidade. Para obter informações sobre como editar o registo, deve consultar o tópico de Ajuda "Alterar Chaves e Valores" do Editor de Registo (Regedit.exe) ou os tópicos de Ajuda "Adicionar e Eliminar Informações do Registo" e "Editar Dados do Registo" do Regedt32.exe.

Nota Recomendamos a realização de uma cópia de segurança do registo antes de o editar.

Para Windows 2000

Nota Tome nota das permissões que são apresentadas na caixa de diálogo, para que mais tarde possa recuperar os seus valores originais

  1. Clique em Iniciar, clique em Executar, escreva regedt32 e, depois, clique em OK.
  2. Expanda HKEY_CURRENT_USER, expanda Software, expanda Microsoft, expanda Office, expanda 11.0, expanda Excel e depois clique em Resiliency. Se a chave não existir, crie-a.
  3. Realce esta chave e clique em Security e depois em Permissões.
  4. Clique de forma a desactivar a caixa de verificação Herdar do objecto principal as entradas de permissões que se aplicam a objectos secundários. É-lhe pedido que clique em Copiar, Remover, ou Cancelar. Clique em Remover e a seguir em OK.
  5. Recebe uma mensagem que o informa que nenhum utilizador poderá aceder a esta chave de registo. Clique em Sim quando essa mensagem surgir.

Para Windows XP Service Pack 1 ou sistemas operativos superiores

Nota Tome nota das permissões que são apresentadas na caixa de diálogo, para que mais tarde possa recuperar os seus valores originais.

  1. Clique em Iniciar, seleccione a opção Executar, introduza "regedit" (sem as aspas) e clique em OK.
  2. Expanda HKEY_CURRENT_USER, expanda Software, expanda Microsoft, expanda Office, expanda 11.0, expanda Excel e depois clique em Resiliency. Se a chave não existir, crie-a.
  3. Clique em Editar e a seguir clique em Permissões.
  4. Clique em Avançadas.
  5. Clique de forma a desactivar a caixa de verificação Herdar do objecto principal as entradas de permissões que se aplicam a objectos secundários. Incluir estas nas entradas definidas explicitamente aqui. É-lhe pedido que clique em Copiar, Remover, ou Cancelar. Clique em Remover e a seguir em OK.
  6. Recebe uma mensagem que o informa que nenhum utilizador poderá aceder a esta chave de registo. Clique em Sim e depois clique em OK para fechar a caixa de diálogo de Permissões para esta chave de registo.

Impacto da Solução: O modo de recuperação de documentos no Excel ajuda a abrir documentos Excel corrompidos. Após a aplicação desta solução alternativa, o Excel não irá tentar recuperar documentos Excel corrompidos e pode não recuperar completamente ao abrir um documento Excel mal formado. Se o Excel ficar instável após ter aberto um documento do Excel mal formado, feche o Excel com o Gestor de tarefas e reinicie o Excel.

Para evitar que os documentos Excel entrem directamente numa rede empresarial, bloqueie todos os tipos de ficheiros Excel no gateway do correio electrónico.

Nota Isto não irá proteger contra outros vectores de ataque, incluindo um ataque baseado na Web.

Os seguintes tipos de ficheiros são ficheiros de tipo Excel que podem explorar esta vulnerabilidade e necessitam de ser bloqueados no perímetro de rede:

xls, xlt, xla, xlm, xlc, xlw, uxdc, csv, iqy, dqy, rqy, oqy, xll, xlb, slk, dif, xlk, xld, xlshtml, xlthtml, xlv

Bloqueie a capacidade de abrir documentos Excel a partir do Outlook como anexos, web sites e directamente do sistema de ficheiros, removendo as chaves de registo que associam os documentos Excel à aplicação Excel.

Os documento Excel podem ser abertos automaticamente no Excel, abrindo-os como anexos de correio electrónico, visitando websites que tentam carregar os documentos Excel e a partir do sistema de ficheiro e partilhas de ficheiros, clicando duas vezes sobre o documento. Remover as seguintes chaves de registo irá bloquear estes vectores de ataque, ao evitar que documentos Excel sejam carregados directamente no Excel. Para remover estas chaves, siga estes passos:

Nota Embora a vulnerabilidade exista no Excel Viewer 2003, Excel 2002 e Excel 2000, a exploração actual não afectou estas aplicações.

Nota A utilização incorrecta do Editor de Registo pode provocar problemas graves que podem vir a obrigar à reinstalação do sistema operativo. A Microsoft não pode garantir que os problemas resultantes da utilização incorrecta do Editor de Registo possam ser resolvidos. A utilização do Editor de Registo é da sua responsabilidade. Para obter informações sobre como editar o registo, deve consultar o tópico de Ajuda "Alterar Chaves e Valores" do Editor de Registo (Regedit.exe) ou os tópicos de Ajuda "Adicionar e Eliminar Informações do Registo" e "Editar Dados do Registo" do Regedt32.exe.
.

  1. Para Windows 2000
    Clique em Iniciar, seleccione a opção Executar, introduza "regedt32" (sem as aspas) e clique em OK.

    Para Windows XP Service Pack 1 ou sistemas operativos posteriores
    Clique em Iniciar, seleccione Executar, introduza "regedit" (sem as aspas) e clique em OK.

  2. Realce cada uma das chaves de registo na lista em baixo
  3. Clique com o botão direito do rato em cada chave, clique em Eliminar e clique em Sim para confirmar a eliminação.

    Nota: Dependendo da instalação, algumas das chaves podem não existir.

    Nota Recomendamos a realização de uma cópia de segurança das chaves de registo em baixo para restaurar as chaves eliminadas.

    HKEY_CLASSES_ROOT\Excel.Addin\shell
    HKEY_CLASSES_ROOT\Excel.Backup\shell
    HKEY_CLASSES_ROOT\Excel.Chart\shell
    HKEY_CLASSES_ROOT\Excel.Chart.8\shell
    HKEY_CLASSES_ROOT\Excel.CSV\shell
    HKEY_CLASSES_ROOT\Excel.DIF\shell
    HKEY_CLASSES_ROOT\Excel.Macrosheet\shell
    HKEY_CLASSES_ROOT\Excel.Sheet.8\shell
    HKEY_CLASSES_ROOT\Excel.SLK\shell
    HKEY_CLASSES_ROOT\Excel.Template\shell
    HKEY_CLASSES_ROOT\Excel.Workspace\shell
    HKEY_CLASSES_ROOT\Excel.XLL\shell
    HKEY_CLASSES_ROOT\Excelhtmlfile\shell
    HKEY_CLASSES_ROOT\Excelhtmltemplate\shell
    HKEY_CLASSES_ROOT\.xls
    HKEY_CLASSES_ROOT\.xlt
    HKEY_CLASSES_ROOT\.xla
    HKEY_CLASSES_ROOT\.xlm
    HKEY_CLASSES_ROOT\.xlc
    HKEY_CLASSES_ROOT\.xlw
    HKEY_CLASSES_ROOT\.uxdc
    HKEY_CLASSES_ROOT\.csv
    HKEY_CLASSES_ROOT\.iqy
    HKEY_CLASSES_ROOT\.dqy
    HKEY_CLASSES_ROOT\.rqy
    HKEY_CLASSES_ROOT\.oqy
    HKEY_CLASSES_ROOT\.xll
    HKEY_CLASSES_ROOT\.xlb
    HKEY_CLASSES_ROOT\.slk
    HKEY_CLASSES_ROOT\.dif
    HKEY_CLASSES_ROOT\.xlk
    HKEY_CLASSES_ROOT\.xld
    HKEY_CLASSES_ROOT\.xlshtml
    HKEY_CLASSES_ROOT\.xlthtml
    HKEY_CLASSES_ROOT\.xlv
    HKEY_CLASSES_ROOT\ExcelViewer.Chart.8\shell
    HKEY_CLASSES_ROOT\ExcelViewer.Macrosheet\shell
    HKEY_CLASSES_ROOT\ExcelViewer.Sheet.8\shell
    HKEY_CLASSES_ROOT\ExcelViewer.Template\shell
    HKEY_CLASSES_ROOT\ExcelViewer.Workspace\shell

    Impacto da solução alternativa: Os documentos Excel não passarão a ser abertos fora da aplicação Excel. Para visualizar documentos Excel, abra a aplicação Excel e carregue directamente o ficheiro, utilizando Ficheiro e Abrir.

Não abra ou guarde ficheiros do Microsoft Excel que receba de origens que não considere fidedignas.

É possível tirar partido desta vulnerabilidade quando um utilizador abre um ficheiro Excel especialmente concebido para o efeito. Os ficheiros Excel de fontes fidedignas ou ficheiros Excel que podem ser considerados fidedignos podem continuar a ser utilizados.

  • Proteja o seu PC

    Continuamos a encorajar os clientes a seguir os nossos conselhos para proteger o computador e activar uma firewall, obter actualizações de software e instalar software anti-vírus. Os clientes poderão saber mais sobre estes passos no Web site Proteja o Seu PC .

  • Para obter mais informações sobre como estar seguro na Internet, os clientes podem visitar a página inicial de Segurança Microsoft.
  • Os clientes que pensem ter sido atacados devem contactar a filial local do FBI ou apresentar a sua queixa no Web site Internet Fraud Complaint Center. Os clientes fora dos Estados Unidos devem contactar a instituição de segurança e defesa da lei do seu país.

    Todos os clientes devem aplicar as actualizações mais recentes de segurança publicadas pela Microsoft para ajudar a assegurar que os seus sistemas estão protegidos contra exploração do código. Os clientes que tiverem as Actualizações automáticas activadas receberão automaticamente todas as actualizações do Windows. Para mais informações sobre as actualizações de segurança, visite o Web site de Segurança Microsoft.
  • Recomendamos que os clientes usem de extrema cautela quando aceitam transferências de ficheiros, tanto de origens desconhecidas, como conhecidas. Para mais informações sobre a forma de ajudar a proteger o seu computador enquanto usa o MSN Messenger, visite o Web site de Perguntas mais frequentes do MS Messenger.

    Manter o Windows actualizado

  • Todos os utilizadores do Windows devem aplicar as actualizações de segurança da Microsoft mais recentes para ajudar a garantir que os seus computadores estão o mais protegidos possível. Se não tiver a certeza se o seu software está actualizado, visite o Web site do Windows Update, procure actualizações disponíveis para o seu computador e instale todas as actualizações de prioridade elevada que lhe são oferecidas. Se tiver as Actualizações Automáticas activadas, as actualizações ser-lhe-ão entregues quando são lançadas, mas tem de se certificar de que as instala.

Outras informações

Recursos:

  • Pode fornecer o seu feedback preenchendo o formulário que encontrará no seguinte Web site.
  • Os clientes nos E.U.A. e no Canadá podem receber suporte técnico através do Suporte Técnico da Microsoft. Para obter mais informações sobre opções de suporte disponíveis, consulte o Web site Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte das subsidiárias locais da Microsoft. Para mais informações sobre como contactar a Microsoft relativamente a questões de suporte internacionais, visite o Web site de Suporte Internacional.
  • O Web Site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Exclusão de garantia:

As informações fornecidas neste aviso são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation, ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.

Revisões:

  • (19 de Junho de 2006): Aviso publicado.
  • (21 de Junho de 2006): Revisão do aviso para clarificar melhor questões relacionadas com o “Impacto da solução alternativa” na secção "No Excel 2003, evite o modo Reparar do Excel, modificando a lista de controlo de acesso (ACL) para a chave de registo de resistência do Excel" na secção "Soluções alternativas para a vulnerabilidade de execução remota de código no Microsoft Excel" e para actualizar o "Estado do Aviso".

Built at 2014-04-18T01:50:00Z-07:00

Mostrar: