Microsoft ha publicado un parche que soluciona una vulnerabilidad en Microsoft Excel 97, que podría llegar a permitir que ciertos tipos de programas fueran ejecutados sin un aviso al usuario.
Una función legal de Excel, CALL, permite a los programas ser ejecutados desde una hoja de cálculo. Si el ejecutable al que hace referencia la función es de naturaleza maliciosa, una hoja de cálculo que contenga esta función puede suponer un riesgo de seguridad para los usuarios.
Microsoft acaba de publicar un parche que desabilita totalmente esta funcionalidad. la comañía de Bill Gates, recomienda que sean los propios usuarios los que estudien su nivel de riesgo y la necesidad o no de instalar el parche.
CALL es una avanzada función en Excel que permite a una hoja de cálculo llamar a un procedimiento de una dll (Dinamic Link Library). Es una función legal y puede ser usada en macros o como una función de una hoja de cálculo. Excel genera un aviso al usuario antes de ejecutar una macro, permitiendo decidir al usuario si debe ejecutarla o no. Sin embargo, el programa no genera ningún aviso antes de ejecutar funciones de la hoja de cálculo, por lo que si se emplea de esta forma, CALL puede ser usada para llamar a una dll externa sin autorización del usuario.
Un atacante puede explotar esta vulnerabilidad incorporando una función CALL dentro de un documento Excel y enviándoselo a un usuario desprevenido. El atacante puede controlar el momento en que la función CALL se activa, bien al abrir el documento o cuando ocurra cualquier otro evento. Es importante hacer notar que la función CALL no realiza ninguna acción maliciosa por si misma y sólo sirve como medio inicial para realizar una llamada a una dll maliciosa.
Según informa Microsoft no se ha producido ningún aviso por parte de algún usuario afectado por una hoja de cálculo que haga uso de esta funcionalidad. A pesar de ello, Microsoft se adelanta a cualquier posible eventualidad publicando el parche que elimina la vulnerabilidad.
Hay que destacar que el parche corrige la vulnerabilidad desabilitando la función CALL sobre una hoja de cálculo. Sin embargo, no se elimina la posibilidad de uso de esta función en macros. La función CALL es muy poco usada dentro de hojas de cálculo, por lo que la gran mayoría de usuarios podrán usar el parche sin ninguna pérdida de funcionalidad. Sin embargo aquellos usuarios que si hagan uso de esta función dentro de hojas de cálculo no podrán aplicar el parche.
El parche se encuentra disponible en: http://officeupdate.microsoft.com/downloadDetails/xl97cfp.htm
Deja un comentario