Väärennetyn PowerPoint-esitysgrafiikkatiedoston piilee organisaation tietoja varastava haittaohjelma.
Microsoft vahvistaa kohdistetuissa troijalaishyökkäyksissä käytetyn ennalta tuntematonta PowerPoint-ohjelmiston turva-aukkoa.
Microsoft vahvistaa kohdistetut hyökkäykset julkaisemassaan tietoturvatiedotteessa. Yhtiön tapana on muutaman vuoden ollut julkaista virallinen tiedote vakavista haavoittuvuuksista, joihin ei ole saatavilla turvapäivitystä. Yhtiö kertoo julkaisevansa päivityksen haavoittuvuuteen virallisen aikataulun ulkopuolella, mikäli tilanne niin vaatii.
Vakioaikataulun mukainen seuraava ns. paikkatiistai on 14. huhtikuuta eli puolentoista viikon kuluttua.
Haavoittuvuus koskee toimisto-ohjelmiston versioita Office 2003, 2002 eli XP-versio, 2000 sekä Macintosh-versio 2004 kaikilla uusimmilla huolto- ja turvapäivityksillä varustettuna.
Yleensä vain yksi uhri saa haittatiedoston
Kohdistetut eli kohdennetut hyökkäykset ovat menetelmä, jossa huolellisesti väärennetyn sähköpostiviestin liitteenä lähetetään esimerkiksi yritysvakoilun kohteelle Office-muotoinen liitetiedosto. Menetelmä on hyvin samankaltainen, jota on käytetty yli sataan maahan levittäytyneessä GhostNet-verkkovakoilutapauksessa.
Viestejä lähetetään yleensä vain yksi organisaatioon, jotta se hukkuisi normaalin työsähköpostiviestinnän joukkoon. Yksittäistä viestiä on myös vaikea erottaa palomuuri- ja tunkeutumisenestojärjestelmistä.
Virustorjuntatoimijat ovat ryhtyneet tänään julkaisemaan viruskuvauksia vihamielisille PowerPoint-dokumenteille, joista upotettu haittaohjelma löytyy. Muun muassa McAfee tunnistaa vihamieliset .ppt-tiedostot nimellä Exploit-PPT.k. Microsoft itse on ottanut käyttöön Apptom-nimen.
Päivitys klo 22: Liitetiedostojen on havaittu olevan .PPS-päätteisiä ja kooltaan n. 838 kilotavua. Trend Micro käyttää tunnistusnimeä TROJ_PPDROP.AB ja Sophos puolestaan Troj/ExpPPT-A:ta.
5.4. klo 23: Myös nimet Trojan-Dropper.MSPPoint.Agent.au ja Exploit/PPT ovat käytössä.
Kommentit