• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Detalles sobre la vulnerabilidad de Microsoft Excel

Detalles sobre la vulnerabilidad de Microsoft Excel

20 junio, 2006 Por Hispasec 1 comentario

Microsoft ha publicado nuevos detalles sobre la vulnerabilidad que afecta a Microsoft Excel, junto con algunas técnicas para mitigar el posible impacto. El fallo se debe a una validación errónea de memoria que puede derivar en la ejecución de código arbitrario. Debido a que el problema está siendo activamente aprovechado y no existe parche oficial, se ha convertido en un «0 day», lo que supone un importante problema de seguridad.

El fallo afecta a las siguientes versiones de Excel: 2003, Viewer 2003, 2002, 2000, 2004 para Mac y v. X para Mac. Para que el error pueda ser aprovechado y un atacante consiga ejecutar código, la víctima deberá abrir con alguna de estas versiones un archivo especialmente manipulado. Habitualmente, la extensión más «sospechosa» será xls pero también xlt, xla, xlm, xlc, xlw, uxdc, csv, iqy, dqy, rqy, oqy, xll, xlb, slk, dif, xlk, xld, xlshtml, xlthtml y xlv son susceptibles de provocar problemas si son abiertas con Excel.

El archivo especialmente manipulado puede llegar a través de cualquier medio y de cualquier fuente. El hecho de que un correo con remitente conocido adjunte un fichero en Excel no debe suponer que automáticamente se confíe en él. Como con cualquier otro malware, las direcciones de los remitentes pueden ser falsificadas.

El código para aprovechar esta vulnerabilidad (exploit) es público y está a disposición de cualquiera con mínimos conocimientos de programación. Los privilegios que conseguiría el atacante serían los mismos que los del usuario que ha abierto el archivo. Algunas casas antivirus reconocen ya este ataque con diferentes nombres, pero sin duda aparecerán variantes, quizás no detectadas, en los próximos días. Por ahora, su difusión es bastante discreta.

En Excel 2002 y 2003, el programa preguntará si se quiere abrir, salvar o cancelar la acción antes de abrir el archivo manipulado, lo que supone una pequeña forma de mitigar el problema. En Excel 2000 lo abrirá de forma automática.

No existe parche oficial, y Microsoft no se ha pronunciado sobre fechas de publicación. Mientras, recomienda mitigar el impacto del problema a través de algunas modificaciones en el registro.

Para Excel 2003, Microsoft recomienda evitar el «modo recuperación» de Excel. Para ello se debe acceder a la siguiente rama del registro:

HKEY_CURRENT_USER/Sofware/Microsoft/Office/11.0/Excel

crear o modificar el valor de “Resiliency” y eliminar la lista ACL (Access Control List) para que nadie pueda acceder a este valor.

El impacto de esta contramedida podría se calificado de medio. Se perderá la funcionalidad de recuperación de documentos Excel corruptos. Después de aplicar esta contramedida Microsoft Excel no intentará reparar documentos corruptos y no se recuperará si se abre un documento mal formado. Si esto ocurre será necesario eliminar los procesos a mano.

Aparte de estas medidas, y a la espera de posibles virus o malware en general que pretendan aprovechar este problema y replicarse a través de correo electrónico, se recomienda limitar o eliminar si es posible los archivos adjuntos en este formato a nivel de servidor perimetral de correo. Además, se deberá impedir que otros componentes de Windows como Outlook o Internet Explorer, ejecuten de forma automática archivos Excel.

Se debe prestar especial atención a este tipo de problemas de seguridad que afectan a un software tan popular, y sobre los que la información suele ser escasa o confusa. Muchos usuarios todavía no conciben que archivos con extensiones históricamente confiables puedan suponer un problema para sus sistemas. Cualquier archivo puede resultar potencialmente peligroso siempre que se combinen adecuadamente las circunstancias. En realidad, sólo es necesario un programa vulnerable que interprete un fichero que sepa aprovechar esa vulnerabilidad. Con esta premisa en mente, cualquier archivo puede resultar fatal mucho más allá de los típicos ejecutables para Windows.

Desde Hispasec se recomienda no abrir correos con adjuntos no solicitados o no confiables, vigilar los privilegios de usuario y, a ser posible, utilizar otras herramientas ofimáticas hasta la aparición del parche.

Sergio de los Santos
ssantos@hispasec.com

Más información:

Vulnerability in Excel Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/921365.mspx

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware, Vulnerabilidades

Interacciones con los lectores

Comentarios

  1. Excel dice

    28 marzo, 2012 a las 3:58 am

    Por esta y muchas razones más es importante que todos actualicemos nuestros sistemas continuamente especialmente realizar la instalación de los Service Packs en cuanto nos sea posibles

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Evasión de CloudTrail en AWS a través de API no documentada
  • USB Killer, el enchufable que puede freir tu equipo
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Tamagotchi para hackers: Flipper Zero
  • Técnica permite modificar ficheros PDF con firma digital

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR