• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Detalles sobre la vulnerabilidad de Microsoft Word

Detalles sobre la vulnerabilidad de Microsoft Word

23 mayo, 2006 Por Hispasec Deja un comentario

A finales de la semana pasada se encontraba una vulnerabilidad en Microsoft Word que puede ser aprovechada por atacantes para comprometer el sistema. El fallo se debe a un error no especificado que puede derivar en la ejecución de código arbitrario. Debido a que el problema está siendo activamente aprovechado y no existe parche oficial, se ha convertido en un “0 day”, lo que supone un importante problema de seguridad.

La primera pista que se encontró sobre esta vulnerabilidad fue a través de un usuario de una compañía que detectó un dominio incorrecto en un correo que parecía completamente legítimo. Se hacía pasar por un email interno, incluso incluía firmas e iba dirigido expresamente a la víctima elegida. Por supuesto, tampoco era detectado por ningún antivirus. Al contrario que la mayoría del malware que conocemos, que suele ser genérico y lanzado indiscriminadamente contra cualquiera que posea un sistema desprotegido, esta era una amenaza directa a la compañía que lo estaba recibiendo, un ataque perpetrado especialmente contra ellos. Esto lo ha convertido en una amenaza solapada y oculta durante no se sabe cuánto tiempo.

Los correos en cuestión contienen un adjunto en formato Word (extensión .doc) que aprovecha una vulnerabilidad no conocida hasta ahora (funciona sobre un sistema totalmente parcheado hasta la fecha) para ejecutar código bajo los permisos del usuario que pretendiese conocer su contenido haciendo uso de Microsoft Office 2002 ó 2003. En ese momento el sistema descarga y ejecuta un troyano. A partir de aquí el troyano limpia sus huellas sobrescribiendo el documento Word original por uno no infectado. Tiene además una funcionalidad de rootkit, de forma que oculta al Explorer uno de los ficheros implicados en el exploit (winguis.dll). Según el propio descubridor, que envió sus muestras a Virustotal.com, ningún antivirus lo reconocía como tal en ese momento. Para el usuario, mientras se realiza todo el proceso de infección, Word deja de responder con un error y se ofrece la opción de reabrir el archivo. Si se acepta, el nuevo documento que no contiene ningún tipo de infección es abierto sin problemas.

Hasta ahora se han reconocido dos variantes clasificadas por las casas antivirus como GinWui.A y GinWui.B, pero todavía no se ha detectado una presencia masiva. Es cuestión de tiempo que ocurra, en cuanto los detalles técnicos se hagan públicos.

Según eEye, los asuntos de los correos que cargan con el archivo de Word adjunto son:

«Notice» y «RE Plan for final agreement»

Y el nombre de los archivos en sí:

«NO.060517.doc.doc» y «PLANNINGREPORT5-16-2006.doc»

El fallo ha sido verificado en Microsoft Word 2002 y Microsoft Word 2003 aunque otros componentes de Office podrían verse afectados. Ni Word Viewer 2003 ni Office 2000 son vulnerables al problema. El archivo no se ejecuta de forma automática, sino que es necesario que el usuario ejecute el archivo dañino (con una de las versiones de Office) para que se libere el código en su sistema. Si el usuario es administrador, GinWui tendrá total control sobre el ordenador.

Microsoft ha declarado que publicará un parche de seguridad, como máximo, el día 13 de junio. Mientras, recomienda utilizar Microsoft Word en modo seguro. Para ello, según Microsoft, es necesario deshabilitar la funcionalidad de Outlook para usar Word como editor de correo electrónico y ejecutar winword.exe siempre con el parámetro «/safe»

Este GinWui llama la atención por haberse descubierto de una forma poco habitual. Normalmente, tratándose de un “0 day”, se alerta de alguna vulnerabilidad que permite la ejecución de código y se hacen públicos los detalles para sacar partido de ella cuando todavía no existe parche oficial. A partir de ahí, en pocos días, aparecen virus y malware en general capaz de aprovecharla en su propio beneficio y que son lanzados de forma masiva para infectar al mayor número de sistemas posible. En ese momento las casas antivirus capturan su firma y se convierte en un virus fichado. Con GinWui, por el contrario, la vulnerabilidad se ha descubierto a través de un troyano que ya era capaz de aprovecharla siendo ésta previamente desconocida y, además, «gracias» a un ataque construido específicamente contra una compañía. Es a partir de ahora cuando el procedimiento se asemeja al «tradicional», esto es, los detalles se hacen públicos, los ataques se multiplican y casi todas las casas antivirus reconocen el troyano. La peligrosidad desciende aunque siga siendo alta.

Como advertía en un boletín anterior, el hecho de conocer algún mecanismo que permite tomar el control de un sistema y que no es detectado por nada ni por nadie hasta ese momento, tiene mayor valor en tanto en cuanto es conocido por un menor número de personas. En estos casos la amenaza resulta real y tremendamente peligrosa, y este ha sido uno de esos casos. Realmente nunca se sabrá durante cuánto tiempo esta vulnerabilidad ha sido conocida por unos pocos, que la han usado discretamente en su propio beneficio y el valor de lo que han podido llegar a obtener de los sistemas infectados.

Desde Hispasec se recomienda no abrir correos con adjuntos no solicitados o no confiables, vigilar los privilegios de usuario y, a ser posible, utilizar otras herramientas ofimáticas hasta la aparición del parche.

Sergio de los Santos
ssantos@hispasec.com

Más información:

Microsoft Word Vulnerability
http://www.us-cert.gov/cas/techalerts/TA06-139A.html

Targeted attack: experience from the trenches
http://isc.sans.org/diary.php?storyid=1345

Exploits Circulating for Zero Day Flaw in Microsoft Word
http://www.eeye.com/html/resources/newsletters/alert/pub/AL20060523.html

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware, Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • ¿Qué es DMARC? La necesidad de la protección del correo electrónico

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR