El pasado día 12 de julio se anunciaba una nueva vulnerabilidad en
PowerPoint que podía ser aprovechada por atacantes para ejecutar código
arbitrario. Como viene siendo habitual, y en lo que se está convirtiendo
en una nueva tendencia, aparecía justo después de la publicación de los
parches oficiales de Microsoft, los segundos martes de cada mes.
En un principio, el fallo en PowerPoint se debía sólo a una corrupción
de memoria en la librería mso.dll a la hora de manejar una presentación
especialmente manipulada. Esto podría ser aprovechado para ejecutar
código arbitrario si un usuario abre con Microsoft Powerpoint un archivo
con formato PPT. El problema se detectó a partir de la observación de un
archivo en este formato que fue enviado a ciertos usuarios, que contenía
caracteres chinos y hacía referencia a una especie de carta de amor.
Microsoft ya ha reconocido el problema y ha publicado una notificación
oficial. Las casas antivirus también lo reconocen ya, y se ha sabido que
distintas versiones intentan instalar programas para el reconocimiento
de teclas pulsadas (keyloggers) o puertas traseras.
En los últimos días se han hecho públicas hasta tres pruebas de concepto
distintas que aprovechan las que pueden ser consideradas tres
vulnerabilidades diferentes en PowerPoint. No se sabe exactamente a qué
versiones afectan. Estas pruebas de concepto, según han sido publicadas,
provocan que la aplicación deje de responder, pero es probable que
allanen el camino para que, con algunas modificaciones, aparezcan nuevos
exploits capaces de ejecutar código.
Una vez más (y ya van tres) se hace pública una vulnerabilidad Office
justo después de la publicación mensual de parches de Microsoft, lo que
maximiza el tiempo de aprovechamiento del fallo y por tanto, la
posibilidad de infectar los sistemas. Los usuarios que no tomen las
precauciones adecuadas (actualización de antivirus, limitación de
privilegios y sentido común), estarán desprotegidos y se convertirán en
sencillas víctimas hasta, por lo menos, el próximo ocho de agosto en el
que aparezcan nuevos boletines de seguridad con sus respectivos parches.
A menos que Microsoft no publique excepcionalmente una actualización
fuera de su ciclo habitual, pero esto sólo ha ocurrido en contadas
ocasiones en las que el problema de seguridad se había convertido en una
verdadera epidemia, situación que no se ha dado todavía en este caso.
Tras los últimos acontecimientos relacionados con Office podemos
observar un claro cambio de tendencia en la forma en la que aparecen
estos problemas, unida a una obsesiva y oportunista fijación contra este
software de Microsoft. La adopción cada vez mayor por parte de usuarios
de técnicas de protección como cortafuegos y antivirus, unido a una
mayor concienciación a la hora de no dejarse engañar por ficheros
directamente ejecutables, ha provocado que hayan descendido los intentos
de aprovechamiento de vulnerabilidades en el propio sistema operativo.
Hoy resulta mucho más sencillo intentar engañar a potenciales víctimas a
través de la apertura de documentos Office, formato con el que los
usuarios se sienten mucho más cómodos y no tienen miedo a abrir en sus
sistemas.
Esta vulnerabilidad se ha convertido en el cuarto «0 day» que sufre
Microsoft Office en algunas semanas. El 19 de mayo se advertía sobre la
aparición de un documento Word que cuando era abierto por un usuario,
ejecutaba código arbitrario en el sistema de forma completamente oculta.
Microsoft publicó un parche que solucionaba el problema. El 15 de junio
aparecía otro «0 day» en Excel, que permitía la ejecución de código
arbitrario y que también fue solucionado. El día 19 de junio, aparece
por sorpresa una nueva amenaza para usuarios de Microsoft Office de la
que todavía no existe parche oficial. Todos han sido descubiertos pocos
días después de la publicación mensual de parches y boletines.
Esta tendencia recuerda a una especie de evolución de los tiempos en que
los virus se multiplicaban mayoritariamente a través de documentos
Office, con la salvedad de que entonces incluían «macros» ejecutadas en
un sistema absolutamente desprotegido y hoy es a través de
vulnerabilidades y técnicas más «sofisticadas». Poco a poco y tras la
inclusión de medidas de seguridad contra la ejecución indiscriminada de
«macros», se volvió a confiar en este popular formato. De hecho hacía
varios años que, salvo contadas excepciones, no eran portadores de carga
vírica ni ejercían de troyanos. Hoy, archivos PPT, XLS y DOC vuelven a
ser protagonistas de la escena vírica.
ssantos@hispasec.com
Más información:
Chinese words of love exploit PowerPoint day zero flaw
http://www.sophos.com/pressoffice/news/articles/2006/07/chinesewords.html
Information on the recent Powerpoint vulnerability
http://blogs.technet.com/msrc/archive/2006/07/14/441893.aspx
Deja una respuesta