El pasado mes nos hicimos eco de una nueva vulnerabilidad,
decubierta por Guninski, que permitía la ejecución de comandos
de forma remota a través de Internet Explorer y Office 2000
aprovechando objetos Active-X. El SANS Institute demuestra
cómo es posible explotar el problema con tan sólo visualizar
una página o mensaje HTML, sin necesidad de abrir o ejecutar
ningún archivo adjunto, aun cuando está desactivada la opción
de Controles y Complementos Active-X.
Los detalles de la vulnerabilidad ya fueron comentados en
«IE5 y Office 2000 permiten ejecutar comandos de forma remota»
el 27 del pasado mes (http://www.hispasec.com/unaaldia.asp?id=609).
El problema se agrava cuando el objeto Active-X hace referencia
a una base de datos Access. Aun estando desactivada la opción
de Controles y Complementos Active-X, Internet Explorer procede
en primer lugar a la descarga de la base de datos (.MDB), ejecuta
Access y la abre, a continuación informa al usuario de que el
contenido de la página HTML es inseguro.
Es decir, al abrir la base de datos posibilita la ejecución de
cualquier comando, a través del lenguaje VBA (‘Visual Basic for
Applications’), antes de que determine que el contenido no es
seguro y pueda preguntar al usuario si desea continuar o
niegue su ejecución por configuración. Una secuencia sin sentido
alguno.
La buena noticia, o el consuelo, para los usuarios de Windows
es que Microsoft ha facilitado unos pasos a seguir para evitar
la vulnerabilidad, mientras desarrolla el parche definitivo.
La solución, algo espartana pero efectiva, es configurar una
contraseña en Access para impedir su inicio automático:
-Ejecutar Access (sin abrir ninguna base de datos).
-Desde el menú Herramientas, elegir Seguridad.
-Seleccionar Cuentas de Usuarios y Grupo…
-Seleccionar el usuario Administrador (por defecto).
-Seleccionar la pestaña Cambiar Contraseña…
-Asignar una contraseña y Aceptar.
Para las otras variantes del agujero de Guninski, donde se
utilizaban Excel y Powerpoint, ya existen parches, disponibles
en:
Microsoft Excel 2000 y PowerPoint 2000:
http://officeupdate.microsoft.com/2000/downloaddetails/Addinsec.htm
Microsoft PowerPoint 97:
http://officeupdate.microsoft.com/downloaddetails/PPt97sec.htm
Más información:
IE5 y Office 2000 permiten ejecutar comandos de forma remota
http://www.hispasec.com/unaaldia.asp?id=609
Dangerous Windows Flaw
SANS Flash Advisory
http://www.sans.org/newlook/resources/win_flaw.htm
«The Office HTML Script» Vulnerability and a
Workaround for «The IE Script» Vulnerability
Microsoft Security Bulletin (MS00-049)
http://www.microsoft.com/technet/security/bulletin/MS00-049.asp
bernardo@hispasec.com
