Vulnerabilidad en Microsoft Excel.

Microsoft ha publicado detalles sobre la grave vulnerabilidad detectada que afecta exclusivamente a Microsoft Excel, junto con algunas técnicas y sugerencias para mitigar el posible impacto que puede acaecer. El problema se debe a una validación errónea de memoria que puede causar  la ejecución de código arbitrario en el equipo afectado al ejecutar un fichero malicioso. Debido a que el problema está siendo activamente aprovechado y no existe, a día de hoy, un parche oficial, se ha convertido en una vulnerabilidad clasificada como "0 day", lo que supone un importante problema de seguridad que afecta a gran cantidad de equipos.

Hay constancia que el fallo afecta a las siguientes versiones de Excel: 2000, 2002, 2003, Viewer 2003, 2004 para Mac y versiones X de Mac. Para que el error pueda ser aprovechado y un atacante consiga ejecutar código en el equipo atacado, la víctima deberá abrir un archivo especialmente manipulado. Habitualmente, la extensión más "sospechosa" será xls pero también xlt, xla, xlm, xlc, xlw, uxdc, csv, iqy, dqy, rqy, oqy, xll, xlb, slk, dif, xlk, xld, xlshtml, xlthtml y xlv son susceptibles de provocar problemas si son abiertas con Excel de forma directa; aún así, se ha dado el caso de construirse un fichero manipulado y cambiarle la extensión (por ejemplo, nombre_de_fichero.qwer) manteniendo la cabecera interna del fichero de Excel, entonces, Windows lo reconocerá como tal y lo ejecutará con el programa Excel, aprovechándose de la vulnerabilidad mencionada, por lo que cualquier bloqueo perimetral de extensiones de ficheros no protege fielmente contra esta vulnerabilidad.

El fichero manipulado puede llegar a través de cualquier medio y de cualquier fuente, conocida o no. El hecho de que un correo con remitente conocido adjunte un fichero en Excel si no es esperado, no confíe en él,  ya que los virus pueden falsificar el remitente (vease Netsky, Bagle, ...) y pueden aprovechar esta confianza para aprovechar dicha vulnerabilidad (exploit). Como con cualquier otro fichero no deseado, las direcciones de los remitentes pueden ser falsificadas.

El código del exploit esta publicado en Internet y está a disposición de cualquiera. Los privilegios que conseguiría el atacante serían los mismos que los del usuario que ha abierto el archivo, recordando la imperiosa necesidad de no trabajar con usuarios con derechos de administrador para evitar males mayores en el equipo. Algunas casas antivirus como McAfee reconocen ya este ataque, pero pueden aparecer variantes que podrían no ser detectadas en el inicio de su propagación.

Ya se ha indicado que todavía no existe parche oficial, y Microsoft no ha anunciado, aún,  una fecha de publicación de este parche tan necesario. Mientras tanto, recomienda modificar una clave del registro para tratar de solventar, temporalmente, esta vulnerabilidad.

En Excel 2002 y 2003, el programa preguntará si quiere abrir, salvar o cancelar la acción antes de abrir el archivo con el exploit, hecho que ayuda a evitar una propagación masiva al ser un mensaje no muy normal en este tipo de ficheros. Si por casualidad se da a abrir, se ejecutará la vulnerabilidad, afectando al equipo como se haya programado el fichero. Si se da a guardar, se mantiene la vulnerabilidad y si se cancela, lo más seguro, no se abra el fichero. En Excel 2000 lo abrirá y ejecutará de forma automática, recomendando tener los programas lo más actualizados posibles.

Aparte de la medida planteada por Microsoft, se recomienda no usar clientes de correo que puedan ejecutar automáticamente ficheros con una cabecera de Excel como el Outlook o el Outlook Express.

Más información:
http://www.microsoft.com/technet/security/advisory/921365.mspx

 

SATINFO, VIRUSCAN SPAIN SERVICE   22 de Junio de 2006

Anterior