Helen, o CAIS (CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA)da RNP orienta fazer exatamente isso. Veja abaixo o e-mail que recebi.
Att, Roberto O CAIS esta' repassando o alerta da Microsoft, intitulado "Vulnerability in PowerPoint Could Allow Remote Code Execution (922970)", que trata de uma vulnerabilidade critica recem-descoberta no Microsoft PowerPoint. Atraves de uma apresentacao PowerPoint especialmente construida, um atacante pode executar codigo arbitrario em uma maquina vulneravel com os direitos do usuario que abrir o arquivo em questao. E' importante ressaltar que a vulnerabilidade em questao esta' sendo explorada atualmente, e que ainda nao existe uma correcao disponibilizada pelo fabricante. Abaixo segue uma lista de malwares que ja' exploram esta vulnerabilidade em especifico: Backdoor.Bifrose.F [Trojan] Trojan.PPDropper.B [dropper] BKDR_BIFROSE.DS [Trojan] TROJ_MDROPPER.AS [dropper] BackDoor-CEP [Trojan] Exploit-PPT.b [exploit] Troj/Edepol-C [Trojan] Bifrose.UZ [Trojan] Backdoor.Win32.Bifrose.uz [Trojan] Backdoor:Win32/Bifrose!E029 [Trojan] W32/Bifrose.UZ [Trojan] Trojan.Riler.F [Trojan] Trojan.PPDropper.C. [dropper] Sistemas afetados: . Microsoft PowerPoint 2003 . Microsoft PowerPoint 2002 . Microsoft PowerPoint 2000 Formas de mitigacao: As seguintes acoes podem ser tomadas para evitar e reduzir o impacto da vulnerabilidade em questao: . Nunca abrir documentos do PowerPoint provenientes de fontes nao confiaveis e se possivel verificar se o arquivo enviado deve mesmo ser aberto. . Abrir as apresentacoes do PowerPoint no Microsoft PowerPoint Viewer 2003 que nao e' vulneravel. . Manter sempre o Anti-virus atualizado. Assinaturas para este tipo de ataque ja' estao disponiveis. . O Microsoft Security Response Center informa que o Windows Live Security Center foi atualizado para detectar este tipo de ataque. A URL de acesso ao Security Center pode ser encontrada na secao "Mais Informacoes" deste alerta. Correcoes disponiveis: Ainda nao existem correcoes disponibilizadas pelo fabricante para a vulnerabilidade em questao. As correcoes devem fazer parte do proximo ciclo mensal da Microsoft em 8 de Agosto de 2006. Mais informacoes: . Microsoft Security Advisory (922970) Vulnerability in PowerPoint Could Allow Remote Code Execution http://www.microsoft.com/technet/security/advisory/922970.mspx . 0-day exploit for Microsoft PowerPoint http://isc.sans.org/diary.php?storyid=1484 . Chinese words of love exploit PowerPoint day zero flaw http://www.sophos.com/pressoffice/news/articles/2006/07/chinesewords.html . Microsoft PowerPoint 0-day Vulnerability FAQ http://blogs.securiteam.com/?p=508 . Windows Live Safety Center http://safety.live.com . Microsoft Brasil Security http://www.microsoft.com/brasil/security . Technet Brasil - Central de Seguranca http://www.technetbrasil.com.br/seguranca Identificador CVE (http://cve.mitre.org): CVE-2006-3590 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as ultimas versoes e correcoes oferecidas pelos fabricantes. Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF: http://www.rnp.br/cais/alertas/rss.xml Atenciosamente, ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # [EMAIL PROTECTED] http://www.cais.rnp.br/ # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----Mensagem original----- De: [email protected] [mailto:[EMAIL PROTECTED] Em nome de Helen Amorim Enviada em: quinta-feira, 20 de julho de 2006 21:52 Para: [email protected] Assunto: [infoetc] Arqs do pacote Office Olá Nação Infoetc! Ta rolando um papo de ataques oriundos de falhas no pacote office. Arqs DOC, XLS, e agora PPS, trariam codigos maliciosos q instalariam trojans e bla bla bla Eu soh abro PPS/PPT, bem como arquivos excell, pelos seus viewers (powerpoint viewer e excel viewer). Entao, alguem sabe dizer se desta forma havera contaminaçao? Pq os viewers nao tem os arquivos q deveriam estar no computador caso fossem instalados ambos os programas mencionados acima. Mas e se eles estiverem instalados e ainda assim usassemos os vizualizadores (nada impede de associar ao viewer para um duplo clique), a contaminaçao poderia ocorrer? e , talvez, se os arquivos DOC trafegassem como RTF (q permitem abertura e posterior ediçao no word, igualzinho aos DOC, so que com 1/3 do tamanho) isto tambem nao rolasse. Helen Links do Yahoo! Grupos Links do Yahoo! Grupos <*> Para visitar o site do seu grupo na web, acesse: http://br.groups.yahoo.com/group/infoetc/ <*> Para sair deste grupo, envie um e-mail para: [EMAIL PROTECTED] <*> O uso que você faz do Yahoo! Grupos está sujeito aos: http://br.yahoo.com/info/utos.html
