Microsoft sigue sin publicar aun el parche para la grave
vulnerabilidad de la que informábamos hace unas semanas en torno
a Jet 3.5 y Excel 97, por la cual se podían conseguir control
total de un ordenador desde una página web o incluso un simple
e-mail. Dispuestos a presionar aun más se han hecho públicos
todos los datos para la realización del exploit.
HispaSec de la mano del propio descubridor del bug, Juan Carlos
García Cuartango, hacía público el problema nada más conocerse
este. La gravedad del bug, y el expreso deseo de Cuartango de
mantener los detalles técnicos del exploit como información
confidencial nos obligaron a no publicar ningún dato técnico.
Aunque ello no nos privó de explicar de las posibilidades que
podía dar este nuevo fallo.
Tras una larga espera, el parche de Microsoft sigue sin llegar, a
pesar de la gravedad del problema han pasado más de dos semanas
desde la publicación original del problema en todo el mundo y se
espera que Microsoft publique el parche en estos días. Por el
momento, los datos técnicos para la realización del exploit ya se
han hecho públicos en las listas internacionales de seguridad.
No sin las acostumbradas discusiones sobre la conveniencia o no
de la difusión del código maligno.
El código se basa en incrustar «Datos Externos» de Microsoft
Query que emplee una función SQL SELECT que contenga una función
shell con parámetros desde (FROM) cualquier fichero conocido. En
el Select se incluye una función shell, en donde los parámetros
son las acciones que se desean realizar, y el FROM es un archivo
conocido y existente en la máquina, por lo que se puede emplear
el config.sys. Hay que configurar la actualización del query para
que se realice cuando se abra la hoja de cálculo.
El exploit publicado se conecta al ftp de AmericaOnLine y se baja
el archivo de presentación, escribe un log de la sesión ftp y
termina por abrir el editor del registro. Como ya se comentó
anteriormente, el archivo Excel no contiene macros, por lo que no
hay ningún aviso de ejecución de macros. Hasta la fecha, ningún
antivirus es capaz de avisar sobre este peligro.
Este mismo exploit se puede cambiar de forma sencilla para que
formatee el disco duro o realice cualquier otra acción sin
ninguna alerta para el usuario. El mayor peligro radica en que es
posible incluir el xls para que se cargue de forma automática
desde una página web o con tan sólo abrir un e-mail.
Más información:
SecurityFocus
Deja una respuesta