Georgi Guniski, el famoso cazador de vulnerabilidades, ha descubierto
una grave problema que puede hacer que al abrir un documento de MS
Office directamente desde el Explorador de Windows se ejecuten
programas.

Si determinadas dlls están presentes en el directorio actual y el
usuario efectúa un doble click sobre el documento MS Office o se abre
desde Inicio/Ejecutar se ejecutarán las dlls. Esto puede permitir la
ejecución de código nativo y puede permitir tomar el control total del
ordenador del usuario. La vulnerabilidad también se puede reproducir
con idénticos resultados sobre unidades compartidas con sus nombres
UNC.

El problema se produce cuando riched20.dll o msi.dll (cualquiera de
las dos) o bien otra dll especialmente creada se encuentra presente en
el mismo directorio que un documento word. Esto posibilita que al
efectuar un doble click en el documento desde el Explorador de Windows
se ejecute el código existente en DllMain() de la dll en cuestión. Los
documentos Excel se comportan de forma similar cuando actúa con la
librería msi.dll, si bien con riched20.dll no funciona de igual forma.

Este problema puede ser reproducido en múltiples escenarios, por
ejemplo en empresas y corporaciones suele ser habitual la existencia
de un servidor de archivos. En este caso un atacante podrá preparar
una dll maliciosa, con código maligno en el cual introducirá un
troyano, aumentará sus privilegios o cualquier acción similar y la
renombrará a riched20.dll. Tras ello bastará con dejar la dll en el
servidor de archivos junto a los documentos de MS Office. Seguramente
algún usuario abrirá algún documento desde el Explorador y provocará
(sin saberlo) que el atacante consiga su objetivo.

Antonio Ropero
antonior@hispasec.com

Más información:

Securityfocus
http://www.securityfocus.com/vdb/bottom.html?vid=1699

Bugtraq
http://www.securityfocus.com/archive/1/83410

Compártelo: