Una vulnerabilidad en Microsoft Excel puede hacer que los usuarios de Internet estén vulnerables ante cualquier ataque, como robo de ficheros, instalación de troyanos, borrado de datos o similares, con sólo visitar una página web.
Recientemente publicamos el aviso de una vulnerabilidad en Excel y su correspondiente parche creado por Microsoft (http://www.hispasec.com/unaaldia.idc?id=46). Ahora sale a luz una forma de explotar el problema que permitiría realizar el ataque con sólo visitar una página web.
El problema ha sido dado en llamar como “Ataque ruso del Nuevo Año”, pues se descubrió por primera vez en Rusia. Aunque fue dado a conocer públicamente por la compañía de seguridad Finjan, quien anunció la manera de llevar a cabo el ataque. El cual se lleva a cabo haciendo uso de la función CALL de Excel y otras funciones html para copiar datos del usuario sin su conocimiento. También puede llevarse a cabo cualquier otra acción en el ordenador del usuario sin que llegue siquiera a darse cuenta de ello, y si se usa adecuadamente, sin dejar ninguna huella.
El problema puede ser más grave que otros reportados, la gran distribución de Excel y el poco conocimiento del bug y el parche de Microsoft para él, agravan el problema. El problema se extiende también a los usuarios de lectores de correo con capacidades html, como Outlook98. Para verse afectado y atacado, ni siquiera es necesario que Excel se encuentre ejecutándose, Microsoft ha respondido al aviso remitiéndose al parche que evitaba el uso de la función CALL.
