Una vez más Juan Carlos García Cuartango, el incansable cazador de agujeros, nos pone al corriente en total primicia de un grave agujero en sistemas Windows.
Cuartango nos anuncia el descubrimiento de una grave vulnerabilidad en
el ODBC localizada en Jet 3.51 (en el controlador ODBCJT32.DLL) que se
ofrece con MS Office 97. Junto con la notificación nos envía el informe
completo con la descripción y demostración del problema remitido a
Microsoft. Estos datos por su extrema gravedad son considerados como
confidenciales.
La vulnerabilidad puede ser explotada desde una hoja de cálculo, pero
también existe la sospecha de que pueda ser posible realizar el ataque
desde un documento de Word. Por el momento sólo se ha testado con
versiones de MS Office 97, incluyendo la SR-2.
Si se abre una hoja de cálculo Excel maliciosa que implemente esta
vulnerabilidad, la hoja puede enviar comandos al sistema operativo
(todas las versiones de Windows NT, 95 y 98 están afectadas) que
puede infectar el sistema con un virus, borrar los discos, leer los
archivos, etc. Se puede afirmar que la hoja de cálculo maliciosa tiene
control total sobre la máquina. Y lo que es peor, como la hoja Excel
no contiene ninguna macro no se mostrará ningún mensaje de advertencia
al abrirla. El ejemplo que nos remite su autor, se conecta a un ftp
al abrir el documento Excel para bajarse el troyano BO2K (si bien este
no existe en el sitio y obtenemos un archivo vacío), pero basta para
imaginar las posibilidades del agujero.
Hay que tener cuidado ya que la vulnerabilidad puede ser explotada a
través de Internet. Una página web puede contener un frame oculto
como si se visita una página de tales
características el webmaster malicioso tendrá control total sobre el
sistema del visitante. También se puede recibir un e-mail con el mismo
frame oculto, de tal forma que si se abre el mensaje mientras se está
conectado se está en las mismas condiciones. Por supuesto, la hoja .xls
también puede ser enviada como un archivo adjunto normal en cuyo caso
es cuestión del usuario el abrir o no el enlace recibido. Como consejo
queda el no abrir documentos sospechosos y desconectarse de la Red
antes de abrir los mensajes de e-mail.
La vulnerabilidad fue remitida por Cuartango a Microsoft pocos días
después de ser consciente del problema, que de hecho está corregido
en el controlador Jet 4.0 que se distribuye con MDAC 2.1. La fecha de
los archivos distribuidos con este componente (26 de abril de 1999)
muestra que Microsoft era consciente del problema mucho tiempo atrás,
aunque la multinacional no informó a los millones de usuarios de
MS Office sobre las ventajas de instalar la nueva versión del
controlador por razones de seguridad.
Cuartango nos dice que «Personalmente no estoy de acuerdo con la
forma en que Microsoft ha tratado este asunto de seguridad. Si un
fabricante de software descubre por si mismo un problema de alto
riesgo de seguridad espero que envíe un boletín de seguridad y un
parche a todos sus usuarios. Microsoft lanzará su nuevo boletín una
vez que el agujero o vulnerabilidad se haya hecho público».
Para saber si se está afectado se debe consultar la versión del
controlador Jet (ODBCJT32.DLL), si la versión es 3.51.xxx entonces
se está afectado y hay que bajar el MDAC 2.1 de http://www.microsoft.com/data/
y proceder a su instalación de forma inmediata. Esperamos que Microsoft
ofrezca en breve información detallada en su zona de seguridad en
http://www.microsoft.com/security/
Desde HispaSec hemos podido comprobar la gravedad de este nuevo
agujero y queremos insistir en la gravedad de esta vulnerabilidad,
que puede llegar a introducir y ejecutar un troyano como BO2K en
nuestra máquina sin que nos demos cuenta de ello con sólo entrar en
una página web. O sustraer archivos desde ella, o borrar el disco
duro, cualquier acción imaginable puede llevarse a cabo con abrir
un simple e-mail, consultar una página web o abrir un documento Excel
o de Word maliciosos.
Deja un comentario