Microsoft opublikował majowy biuletyn bezpieczeństwa, w którym zamieścił trzy krytyczne poprawki i jedną umiarkowaną.
Poprawki krytyczne:

• MS08-026 – zbiór poprawek, które łatają kilka wcześniej zgłoszonych luk w procesorze tekstu MS Word, które pozwalały na wykonanie dowolnego kodu jeżeli użytkownik otworzył specjalnie spreparowany dokument. W najgorszym przypadku możliwe było przejęcie kontroli nad całym systemem. Tradycyjnie, użytkownicy, których konto systemowe ma ograniczone uprawnienia administracyjne, są narażeni na mniejsze konsekwencje ataku.
• MS08-027 – aktualizacja aplikacji MS Publisher, w której znajdowały się luki pozwalające poprzez otwarcie specjalnie spreparowanego pliku wykonanie dowolnego kodu w systemie. Potencjalnie mogło to spowodować całkowite przejęcie kontroli nad komputerem. Podobnie jak w poprzednim przypadku użytkownicy z mniejszymi uprawnieniami systemowymi są bezpieczniejsi.
• MS08-028 – poprawka do silnika baz danych Jet 4.0. Luka polegała na złym sposobie parsowania danych w obrębie bazy danych, przez co użytkownik przez otwarcie specjalnie spreparowanej bazy danych (mógł to być oddzielny plik *.mdb, lub osadzony w innym dokumencie biurowym, np. *.doc) mógł doprowadzić do przejęcia kontroli nad swoim komputerem przez atakującego.

Poprawki umiarkowane:

• MS08-029 – Aktualizacja silnika Malware Protection Engine dotycząca luki, która mogło spowodować zawieszenie i restart silnika (lokalny atak typu DoS). Podatność mogła zostać wykorzystana w chwili, gdy silnik skanował specjalnie spreparowany plik. MS Malware Protection Engine jest wykorzystywany w aplikacjach Windows Live OneCare, MS Antigen, MS Windows Defender oraz MS Forefront Security.

Tegoroczna edycja konferencji SECURE organizowana przez NASK i zespół CERT Polska odbędzie się w dniach 2-3 października 2008 r. w Warszawie. Już teraz zapraszamy wszystkich zainteresowanych wygłoszeniem referatu do składania propozycji.
Szczegółowe informacje o proponowanej tematyce, wymogach formalnych oraz przywilejach dla osób prezentujących referaty znaleźć można tutaj: http://www.cert.pl/PDF/CfP08.pdf

W weekend zaobserwowano masową ilość e-maili wysłanych rzekomo przez portal nasza-klasa.pl, w których zawarta była informacja o oczekującej wiadomości od jednego z użytkowników. W rzeczywistości jest to próba zarażenia odbiorcy trojanem.

Pierwsze fałszywe e-maile pojawiły się już w piątek wieczorem. Przypominały powiadomienie z serwisu nasza-klasa.pl o oczekującej wiadomości przesłanej od jednego z użytkowników. Zawierały początek rzekomej wiadomości (m.in. “Hello!, Kocham Cie! [...]” i “Hi!, I love you!!”) i informację, że dalsza część dostępna jest po kliknięciu w odnośnik.

Link nie prowadził jednak do strony WWW naszej-klasy, lecz do łudząco podobnej. Jej adres co prawda zawierał fragment “nasza-klasa.pl”, lecz na tym się nie kończył i w dalszej części znajdowała się domena zakończona rozszerzeniem m.in. “.com”, “.net”, “.us” i “.in”. Fałszywa strona zawierała komunikat sugerujący, że obsługa animacji Flash w przeglądarce została wyłączona, przez co niektóre opcje nie będą działać (w oryginale na końcu brakowało polskiej litery “ć”).

(kliknij, aby powiększyć)

Użytkownik zachęcany był do pobrania pliku będącego rzekomo instalatorem najnowszej wersji aplikacji Flash Player (miała być to v.9.1.190, podczas, gdy obecnie najnowszą wersją jest 9.0.124.0). Plik nazywał się install_flash_player.exe. W rzeczywistości był to trojan, który po uruchomieniu umożliwiał przejęcie kontroli nad komputerem użytkownika.

(plik przeanalizowany przez VirusTotal, kliknij, aby powiększyć)

Atak ten jest bardzo podobny do ataku na użytkowników serwisu fotka.pl, który miał miejsce w zeszłym tygodniu (pisaliśmy o nim tutaj). Wykorzystano te same domeny, a rzekome komunikaty w fałszywych e-mailach miały podobną treść. Dlatego za obydwoma atakami może stać ta sama grupa cyberprzestępców. Nie wykluczone także, że będą miały miejsce dalsze podobne ataki skierowane do użytkowników innych serwisów społecznościowych, więc apelujemy o ostrożność.