Los ficheros MDB (asociados habitualmente a Access) de Microsoft han sido históricamente inseguros. Tanto, que Microsoft los considera prácticamente equivalentes a un ejecutable puro y duro. Bajo esta premisa, las vulnerabilidades en la librería que los procesa no son corregidas, y los ficheros con extensión MDB bloqueados por su potencial peligrosidad. Los atacantes, sin embargo, han conseguido con bastante ingenio aprovechar una vulnerabilidad crítica en ficheros MDB a través de archivos DOC de documentos de Word.
Desde hace algunos meses se viene observando un repunte en los ataques que aprovechan vulnerabilidades en el Jet Database Engine de Microsoft, que procesa archivos MDB de bases de datos. Esta librería (en concreto msjet40.dll) sufre desde hace años varios problemas de seguridad que permiten la ejecución de código. Con sólo abrir un fichero con extensión MDB especialmente manipulado, un atacante podría ejecutar código arbitrario. Los atacantes envían estos ficheros por correo y, al ser una extensión ‘habitual’ e inofensiva para muchos usuarios, el atacante consigue su objetivo. De hecho estos ataques se suceden por oleadas cada cierto tiempo, y muchos lo confunden con una nueva vulnerabilidad de tipo ‘0 day’ en el Jet Engine.
Lo que se ha descubierto hace algunos días no es una nueva vulnerabilidad, sino una ingeniosa forma de aprovechar fallos relativamente antiguos. Hasta ahora, las dos vulnerabilidades más graves encontradas en esta librería se hicieron públicas a mediados de 2005 y finales de 2007 y, aunque los fallos son activamente aprovechados por atacantes, no han sido corregidos. Microsoft considera públicamente que los ficheros MDB son ‘cuasi’ ejecutables, inherentemente inseguros, y que el hecho de que se pueda ejecutar código a través de ellos no debe escandalizar más que el hecho de que alguien haga doble click sobre un .exe y espere que algo sea ejecutado en el sistema. Así que la librería no ha vuelto a ser actualizada desde 2004. Microsoft, por tanto, bloquea por defecto la extensión en los clientes de correo Outlook y Windows Mail de Vista e incluso Internet Explorer, pues deben ser considerados como ejecutables.
Pero los atacantes han dado una nueva vuelta de tuerca a la forma de aprovechar esta vulnerabilidad, invalidando las alegaciones de Microsoft. Han hecho que sea explotable a través de archivos .DOC. La ‘excusa’ de que los MDB son inseguros y por ello no es necesario parchear la librería, deja de ser válida.
El truco que se ha observado en ciertos ataques se basa en que se accede a través de un documento MS Word a la librería vulnerable para ser explotada. El documento Word se modifica especialmente para acceder a un archivo con la estructura de una base de datos Access pero sin la extensión MDB. De hecho cualquier extensión es válida. Con esto se consigue eludir las posibles restricciones basadas en la extensión, que podrían bloquear el ataque.
En un ataque de este tipo en concreto, la víctima recibiría dos adjuntos en el correo: un archivo .DOC y otro con extensión arbitraria (o ambos comprimidos en un ZIP). La víctima guardaría los archivos en un mismo directorio, y al abrir el documento de texto se accedería al exploit y se ejecutaría el código arbitrario.
Microsoft ha publicado una alerta oficial. En ella se especifica que sólo Windows Server 2003 Service Pack 2 y Windows Vista con y sin Service Pack 1 incluyen una versión de la librería no vulnerable. En la alerta hablan por fin de que tomarán medidas, por lo que es posible que se publique un parche que solucione las dos vulnerabilidades descubiertas en 2005 y 2007 de una vez por todas. Mientras, según la alerta, están estudiando otros posibles vectores de ataque.
ssantos@hispasec.com
Más información:
Vulnerability in Microsoft Jet Database Engine (Jet) Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/950627.mspx
Another Reason to Patch Microsoft Jet Vulnerabilities
http://www.symantec.com/enterprise/security_response/weblog/2008/03/another_reason_why_microsoft_s.html
Deja una respuesta