OpenOffice ha publicado un boletín que descubre tres graves problemas de
seguridad en su software ofimático y que han sido descubiertos a través
de una auditoría interna de código. Mientras, las vulnerabilidades en
Microsoft Office siguen dando que hablar, y algunos creadores de virus
aprovechan para volver a los virus de macro.
Las vulnerabilidades descubiertas afectan a las versiones 1.1.x y 2.0.x.
OpenOffice.org ha publicado la versión 2.0.3 que resuelve estos
problemas. En breve se publicará un parche para la versión 1.1.x.
Los errores son tres:
* Algunos applets de Java pueden saltar fuera de la sandbox, con lo que
el código del applet podría tener acceso al sistema con los privilegios
del usuario que lo ha ejecutado. Para este problema, si no se aplica el
parche, es posible deshabilitar el soporte para los applets de Java y
mitigar el problema (aparte de usar privilegios mínimos).
* Existe un fallo a la hora de interpretar ficheros en formato XML
que abre la posibilidad de desbordamientos de memoria intermedia
en documentos especialmente manipulados. Este error haría que
OpenOffice.org dejase de funcionar y potencialmente, cabría la
posibilidad de ejecución de código arbitrario.
* Existe por último un fallo en el mecanismo de macros que puede
permitir a un atacante incluir ciertas macros que podrían llegar a
ejecutarse incluso si el usuario las ha deshabilitado. Estas macros
también podrían tener acceso al sistema completo con los privilegios
del usuario que lo ejecuta, que no sería advertido de la ejecución en
ningún momento. No existe contramedida específica para este fallo, es
necesario el parche.
La mayoría de distribuciones ya están proporcionando sus respectivas
versiones actualizadas. Se recomienda actualizar desde
http://www.openoffice.org a la versión 2.0.3. Estas son, por ahora, las
vulnerabilidades más graves encontradas en este conjunto ofimático. La
anterior vulnerabilidad de considerable gravedad se descubrió en abril
de 2005, y permitía la ejecución de código con sólo abrir un archivo en
formato .doc. En aquel momento, aunque los detalles sobre el problema
fueron publicados, no se utilizó la vulnerabilidad para esparcir virus
o malware en general de forma masiva. En esta ocasión, además, teniendo
en cuenta que los detalles no son públicos, tampoco se prevé que sea
aprovechado para infectar sistemas, aunque su creciente popularidad
puede terminar por hacerlo objetivo de ataques generalizados.
Este descubrimiento de fallos en el popular programa, coincide con la
mala racha de seguridad que lleva el producto equivalente de Microsoft,
Office, del que se han descubierto varios problemas muy graves en un
breve periodo de tiempo.
Dentro de este continuo desfile de vulnerabilidades, entre las que se
incluye un problema con las macros, se añade el tímido intento de
aprovechar otros antiguos fallos relacionados con esta funcionalidad.
Según informaba ISC SANS desde el pasado 27 de junio se intenta
aprovechar, a través del envío masivo de correos, una vulnerabilidad en
Microsoft Word de hace cinco años. Se trata de un fallo en Word (2000,
2002, 98…) que permitía la ejecución de macros sin intervención del
usuario aunque estuviesen deshabilitadas. En Word 2003 se ejecutaría
sólo si se tuviesen habilitadas las macros. Aunque el parche lleve cinco
años a disposición de todos, esto no garantiza en absoluto que los
usuarios lo hayan aplicado.
Aunque su nivel de infección esté siendo bajo, su difusión ha sido muy
alta. Muchos usuarios han recibido una supuesta publicidad en formato
.doc, comprimido en .zip que supuestamente contenía precios de productos
informáticos. Al ser abierto con un Office vulnerable, el «dropper»
bautizado como Kukudro, descargaba a su vez un virus con un importante
impacto sobre el sistema.
En el Laboratorio Hispasec además, recibimos una de las primeras muestras
de la versión B de Kukudro, que venía esta vez en un simple documento
sin comprimir. Esta versión no era detectada por ningún antivirus en el
momento en el que la recibimos. Tras su envío a virustotal.com y durante
el día, los distintos antivirus fueron añadiendo la firma a su base de
datos.
Ningún antivirus lo reconoció por heurística. Es posible que ya no
esperen un virus de macro a estas alturas. De hecho, es extraño que el
creador intente aprovechar este fallo tan antiguo (además de haberlo
programado en VisualBasic) cuando el parche para la vulnerabilidad fue
distribuido a través de Windows Update, por lo que muchos usuarios
estarán protegidos de forma automática. Con problemas de Office, en la
mayoría de las ocasiones, es necesario actualizar la suite «a mano» o a
través de officeupdate.microsoft.com, algo que pocos usuarios conocen.
Desde el punto de vista del atacante, tendría más «sentido» aprovechar
un fallo de Office que no sea corregido a través de las actualizaciones
automáticas. Quizás se trate de un virus creado por algún “romántico”
(de los que cada vez quedan menos) que ha conseguido una importante
distribución, o simplemente alguien que no sabía exactamente lo que
estaba haciendo.
Malos tiempos, en definitiva, para fiarse de un documento que llegue de
cualquier medio, ya sea abriéndolo con Office, OpenOffice.org en Windows
o cualquier otro sistema operativo.
ssantos@hispasec.com
Más información:
File Format, CVE-2006-3117
http://www.openoffice.org/security/CVE-2006-3117.html
Macro, CVE-2006-2198
http://www.openoffice.org/security/CVE-2006-2198.html
Java Applets, CVE-2006-2199
http://www.openoffice.org/security/CVE-2006-2199.html
Parche de seguridad crítico para OpenOffice
http://www.hispasec.com/unaaldia/2372
Word macro trojan dropper and (another) downloader
http://isc.sans.org/diary.php?date=2006-06-27
Malformed Word Document Could Enable Macro to Run Automatically
http://www.microsoft.com/technet/security/Bulletin/MS01-034.mspx
Deja una respuesta