jueves, 17 de octubre de 2002

Uso de documentos Word y Excel para robo de información sensible

Una funcionalidad incluida en Word y Excel puede ser empleada por un
usuario malicioso para el robo de información sensible, especialmente
en entornos donde se intercambian documentos de estas aplicaciones. Un
usuario podrá enviar un documento a otro para su revisión de forma que
cuando este se lo devuelva editado o revisado, incluya en el documento
información sensible sin su conocimiento.

Word y Excel proporcionan un mecanismo a través del cual los datos de
un documento se puedan insertar y actualizar en otro documento. Este
mecanismo, conocido como códigos de campo en Word y actualizaciones
externas en Excel, puede ser automatizado para reducir la cantidad de
trabajo manual requerido por el usuario.

Existe una vulnerabilidad debida a la posibilidad de uso malicioso de
estos mecanismos para robar información de un usuario sin su
conocimiento. Determinados eventos, como grabar un documento, pueden
accionar la actualización de un código de campo o actualización
externa. Normalmente el usuario es conscientes de que ocurren estas
actualizaciones, sin embargo puede emplearse un código de campo o
actualización externa específicamente creado para provocar una
actualización sin avisar al usuario.

Esto podrá permitir a un atacante la creación de un documento que
cuando se abra pueda actualizarse a sí mismo para incluir los
contenidos de un archivo del ordenador del usuario.

Esto puede emplearse en un entorno de intercambio de documentos, en el
que se transfieren documentos para su edición o revisión. Esto es así,
ya que el atacante deberá enviar un documento malicioso al usuario,
este usuario deberá abrir el documento, momento en que sin su
conocimiento se incluirá el contenido de algún archivo de su disco
duro, tras lo cual el usuario deberá devolver el archivo al emisor
original.

Microsoft publica las actualizaciones necesarias para evitar este
problema, de forma que se evita la introducción automática de datos en
archivos sin conocimiento del usuario.
Microsoft Word 2002:
http://office.microsoft.com/downloads/2002/wrd1005.aspx
Microsoft Word 2000:
http://office.microsoft.com/downloads/2000/wrd0902.aspx
Word 97/Word 98(J):
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q330080
Word X for Macintosh:
http://www.microsoft.com/mac/download/security.asp
Word 2001 for Macintosh:
http://www.microsoft.com/mac/download/security.asp
Word 98 for Macintosh:
http://www.microsoft.com/mac/download/security.asp
Excel 2002:
http://office.microsoft.com/downloads/2002/exc1003.aspx


Antonio Ropero
antonior@hispasec.com


Más información:

Flaw in Word Fields and Excel External Updates Could Lead to Information Disclosure
http://www.microsoft.com/technet/security/bulletin/MS02-059.asp