Aunque el superparche de Microsoft destinado a Excel y publicado bajo el
boletín MS06-037 cubría ocho importantes problemas de seguridad, tres de
los cuatro fallos descubiertos durante el último mes han quedado sin
reparación oficial.
El parche publicado el pasado día 13 solventaba ocho problemas de
seguridad. Entre ellos se encontraba un “viejo conocido”, referente a
la corrupción de memoria a la hora de usar la función de reparación de
documentos. Esto permitía la ejecución de código arbitrario gracias a
un exploit público que estaba siendo usado activamente en la Red para
instalar malware (Mdropper.G, Booli.A, Flux.E, Booli.B…). Este
problema fue descubierto a mediados de junio.
Pero existen además tres problemas anunciados que no han sido todavía
resueltos. Uno es el referente a los enlaces en documentos de Office. En
principio se creyó que afectaba sólo a Excel, pero Microsoft confirmó
que es posible que otros componentes de Office también sean vulnerables.
El fallo se debe a un error de límites en la librería hlink.dll a la
hora de manejar enlaces dentro de documentos. Esto puede ser aprovechado
para provocar desbordamientos de memoria intermedia basados en pila si
un usuario pulsa sobre un enlace especialmente manipulado dentro de un
documento, lo que permitiría la ejecución de código. De hecho existen
varias formas públicas de conseguirlo, una de ellas llamada Urxcel.A.
Otro de los problemas no solucionados está relacionado con el manejo de
componentes Shockwave Flash dentro de documentos. Es posible ejecutar
código arbitrario nada más abrir un documento Excel que en su interior
contenga un objeto Flash especialmente manipulado. Si bien no existe
parche, Microsoft recomienda activar los kill bits de los controles
ActiveX, tal y como se describe en
http://support.microsoft.com/kb/240797/EN-US/ para protegerse. Este
problema está siendo aprovechado por malware como Flemex.A.
Por último, existe un último problema sin solucionar que puede ser
aprovechado para ejecutar código arbitrario si un usuario repara un
archivo especialmente manipulado o pulsa sobre la opción “estilos”.
Este se conoce como “caso Nanika” por ser el apodo de su descubridor,
y por existir una prueba de concepto llamada nanika.xls. Al parecer
sólo afecta a versiones asiáticas del producto y fue descubierto el
día 2 de julio.
Los problemas de seguridad en productos ofimáticos, no sólo de
Microsoft, van en aumento. Estos últimos han corregido 19 problemas de
seguridad con su suite en los últimos cuatro meses, y todavía, por lo
visto, queda trabajo por hacer. Además, se añade el problema de los cada
vez más habituales 0day, o fallos de seguridad que aparecen públicamente
con exploit y sin parche. En este ciclo de actualización, si se tiene en
cuenta que han sido ocho los problemas corregidos y tres los que quedan
sin resolver, sólo siete de once fueron reportados de forma privada a
Microsoft. El resto comenzaron a ser aprovechados sin que existiese
parche para solucionarlos.
Al menos, el hecho de que haya podido dar “nombre” a los virus o
troyanos que intentan aprovecharse de estos problemas, significa que
algunas versiones son detectadas por algunos antivirus actualizados
y en consecuencia serán bloqueados antes de actuar. Esto, obviamente,
no garantiza nada puesto que aparecerán nuevas versiones indetectables
en poco tiempo. Es en estos casos en que los parches oficiales, por
una razón u otra, se retrasan, cuando los antivirus pueden demostrar
también su utilidad.
En cualquier caso, evitar la apertura de documentos Office sospechosos,
actualizar sistema y antivirus, interactuar con el entorno bajo cuentas
de usuario limitadas o utilizar herramientas alternativas para la
ofimática, suponen la mejor protección.
ssantos@hispasec.com
Más información:
Critical Excel Flaws Remain Unpatched
http://www.eweek.com/article2/0,1759,1988145,00.asp
Microsoft patched only the most critical Excel flaw
http://blogs.securiteam.com/index.php/archives/506
Information on Proof of Concept posting about hlink.dll
http://blogs.technet.com/msrc/archive/2006/06/20/437826.aspx
Buffer overflow in certain Asian language versions of Microsoft Excel
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3431
Deja un comentario