En los últimos meses, la suite Microsoft Office ha sido víctima de una oleada de vulnerabilidades que se han hecho estratégicamente públicas cuando todavía no se había desarrollado un parche oficial. Se ha establecido una nueva tendencia que ha transformado a los documentos Office en principales sospechosos de contener troyanos y puertas traseras, convirtiéndolos en objetivo de atacantes. Pero no es el único software ofimático susceptible de ser atacado.
En anteriores boletines hemos informado puntualmente de la aparición de vulnerabilidades “0 day” en Microsoft Office. Casi todos los componentes de esta suite (PowerPoint, Excel, Word…) han sido víctimas de graves problemas de seguridad que permitían la ejecución de código arbitrario si se abría un documento especialmente manipulado.
Sin ir más lejos, y como último ejemplo conocido, el día 19 de agosto se alertó de un nuevo malware que puede estar aprovechando una nueva vulnerabilidad en Microsoft Powerpoint. A través de un archivo con formato “ppt”, podría llegar a ejecutarse código arbitrario con los permisos del usuario que abriese el documento. Aunque puede estar relacionada con las vulnerabilidades descritas en el boletín MS06-048, este problema es nuevo y no estaría documentado hasta el momento. No existe exploit público, aunque se sabe que circula malware capaz de aprovechar el problema.
A la vista de este continuo desfile de problemas de seguridad cabe preguntarse si la malsana fijación con la suite de Microsoft se debe a que es la más insegura o la más popular. Un suceso dado a conocer por Symantec vuelve a confirmar que la suite más utilizada será siempre la más atacada, y que si se cierra una puerta se abrirán otras de forma que los atacantes siempre consigan un buen margen sobre el que trabajar. Ichitaro es un procesador de textos de la compañía japonesa Justsystem, una empresa con más de 20 años de experiencia en el sector. Debido a las obvias diferencias de lenguaje, no es de extrañar que un producto “autóctono” y concebido especialmente para esta cultura tan distinta a la occidental, disfrute de un gran éxito en aquel país. Aunque existen versiones japonesas de Microsoft Office, Ichitaro es muy utilizado en gobiernos e instituciones educacionales, y goza de una buena salud, según indican sus quince versiones principales existentes y la existencia de versiones para Linux y Mac.
Según ha informado Symantec, se ha detectado un ataque que aprovechaba una vulnerabilidad de desbordamiento de pila en este software, y que permite la ejecución de código arbitrario en el sistema. Según John Canavan, autor de la alerta, el ataque incluye la descarga (a través de Tarodrop) y uso de un troyano llamado Infostealer.Papi utilizado para espiar a la víctima y enviar información a los atacantes.
No se tienen datos exactos sobre la popularidad o alcance del ataque, pero sin duda representa un incidente interesante para la reflexión. En la continua búsqueda de negocio y datos secretos conseguidos a través del espionaje, las mafias informáticas son bastante eficientes. Si este software es popular entre las instituciones públicas y usuarios japoneses, no han dudado en buscar vectores de ataque que descarguen un troyano capaz de infectar los equipos de este país si eso les reporta beneficios. Si en Japón o cualquier otro punto del planeta se hubiese utilizado cualquier otro programa, (OpenOffice, Microsoft Word, AbiWord…) de forma mayoritaria, es seguro que también hubiesen conseguido encontrarle algún problema grave que permitiera la ejecución de sus códigos dañinos.
Las vulnerabilidades “0 day” destinadas a pasar inadvertidas y conseguir una propagación limitada pero duradera, no son por tanto exclusivas de una marca o compañía, sino patrimonio de cualquiera que sea usada por la cantidad suficientes de personas como para suponer un jugoso objetivo.
ssantos@hispasec.com
Más información:
Justsystem’s Ichitaro zero-day used to propogate Trojan
http://www.symantec.com/enterprise/security_response/weblog/2006/08/justsystems_ichitaro_0day_used.html
Vulnerabilidad en Microsoft Powerpoint confirma una nueva tendencia
(17/07/2006)
http://www.hispasec.com/unaaldia/2823
Microsoft PowerPoint 0-day Vulnerability FAQ – August 2006
http://blogs.securiteam.com/index.php/archives/559
Deja una respuesta