Detalles sobre la vulnerabilidad de Microsoft Excel
Fuente: http://www.hispasec.com/unaaldia/2795/
Microsoft ha publicado nuevos detalles sobre la vulnerabilidad que
afecta a Microsoft Excel, junto con algunas técnicas para mitigar el
posible impacto. El fallo se debe a una validación errónea de memoria
que puede derivar en la ejecución de código arbitrario. Debido a que el
problema está siendo activamente aprovechado y no existe parche oficial,
se ha convertido en un "0 day", lo que supone un importante problema de
seguridad.
El fallo afecta a las siguientes versiones de Excel: 2003, Viewer 2003,
2002, 2000, 2004 para Mac y v. X para Mac. Para que el error pueda ser
aprovechado y un atacante consiga ejecutar código, la víctima deberá
abrir con alguna de estas versiones un archivo especialmente manipulado.
Habitualmente, la extensión más "sospechosa" será xls pero también xlt,
xla, xlm, xlc, xlw, uxdc, csv, iqy, dqy, rqy, oqy, xll, xlb, slk, dif,
xlk, xld, xlshtml, xlthtml y xlv son susceptibles de provocar problemas
si son abiertas con Excel.
El archivo especialmente manipulado puede llegar a través de cualquier
medio y de cualquier fuente. El hecho de que un correo con remitente
conocido adjunte un fichero en Excel no debe suponer que automáticamente
se confíe en él. Como con cualquier otro malware, las direcciones de los
remitentes pueden ser falsificadas.
El código para aprovechar esta vulnerabilidad (exploit) es público y
está a disposición de cualquiera con mínimos conocimientos de
programación. Los privilegios que conseguiría el atacante serían los
mismos que los del usuario que ha abierto el archivo. Algunas casas
antivirus reconocen ya este ataque con diferentes nombres, pero sin duda
aparecerán variantes, quizás no detectadas, en los próximos días. Por
ahora, su difusión es bastante discreta.
En Excel 2002 y 2003, el programa preguntará si se quiere abrir, salvar
o cancelar la acción antes de abrir el archivo manipulado, lo que supone
una pequeña forma de mitigar el problema. En Excel 2000 lo abrirá de
forma automática.
No existe parche oficial, y Microsoft no se ha pronunciado sobre fechas
de publicación. Mientras, recomienda mitigar el impacto del problema a
través de algunas modificaciones en el registro.
Para Excel 2003, Microsoft recomienda evitar el "modo recuperación" de
Excel. Para ello se debe acceder a la siguiente rama del registro:
HKEY_CURRENT_USER/Sofware/Microsoft/Office/11.0/Excel
crear o modificar el valor de "Resiliency" y eliminar la lista ACL
(Access Control List) para que nadie pueda acceder a este valor.
El impacto de esta contramedida podría se calificado de medio. Se
perderá la funcionalidad de recuperación de documentos Excel corruptos.
Después de aplicar esta contramedida Microsoft Excel no intentará
reparar documentos corruptos y no se recuperará si se abre un documento
mal formado. Si esto ocurre será necesario eliminar los procesos a mano.
Aparte de estas medidas, y a la espera de posibles virus o malware en
general que pretendan aprovechar este problema y replicarse a través de
correo electrónico, se recomienda limitar o eliminar si es posible los
archivos adjuntos en este formato a nivel de servidor perimetral de
correo. Además, se deberá impedir que otros componentes de Windows como
Outlook o Internet Explorer, ejecuten de forma automática archivos Excel.
Se debe prestar especial atención a este tipo de problemas de seguridad
que afectan a un software tan popular, y sobre los que la información
suele ser escasa o confusa. Muchos usuarios todavía no conciben que
archivos con extensiones históricamente confiables puedan suponer un
problema para sus sistemas. Cualquier archivo puede resultar
potencialmente peligroso siempre que se combinen adecuadamente las
circunstancias. En realidad, sólo es necesario un programa vulnerable
que interprete un fichero que sepa aprovechar esa vulnerabilidad. Con
esta premisa en mente, cualquier archivo puede resultar fatal mucho más
allá de los típicos ejecutables para Windows.
Desde Hispasec se recomienda no abrir correos con adjuntos no
solicitados o no confiables, vigilar los privilegios de usuario y, a ser
posible, utilizar otras herramientas ofimáticas hasta la aparición del
parche.
Más información:
Vulnerability in Excel Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/921365.mspx
Sergio de los Santos
[email protected]
___
Microsoft ha publicado nuevos detalles sobre la vulnerabilidad que
afecta a Microsoft Excel, junto con algunas técnicas para mitigar el
posible impacto. El fallo se debe a una validación errónea de memoria
que puede derivar en la ejecución de código arbitrario. Debido a que el
problema está siendo activamente aprovechado y no existe parche oficial,
se ha convertido en un "0 day", lo que supone un importante problema de
seguridad.
El fallo afecta a las siguientes versiones de Excel: 2003, Viewer 2003,
2002, 2000, 2004 para Mac y v. X para Mac. Para que el error pueda ser
aprovechado y un atacante consiga ejecutar código, la víctima deberá
abrir con alguna de estas versiones un archivo especialmente manipulado.
Habitualmente, la extensión más "sospechosa" será xls pero también xlt,
xla, xlm, xlc, xlw, uxdc, csv, iqy, dqy, rqy, oqy, xll, xlb, slk, dif,
xlk, xld, xlshtml, xlthtml y xlv son susceptibles de provocar problemas
si son abiertas con Excel.
El archivo especialmente manipulado puede llegar a través de cualquier
medio y de cualquier fuente. El hecho de que un correo con remitente
conocido adjunte un fichero en Excel no debe suponer que automáticamente
se confíe en él. Como con cualquier otro malware, las direcciones de los
remitentes pueden ser falsificadas.
El código para aprovechar esta vulnerabilidad (exploit) es público y
está a disposición de cualquiera con mínimos conocimientos de
programación. Los privilegios que conseguiría el atacante serían los
mismos que los del usuario que ha abierto el archivo. Algunas casas
antivirus reconocen ya este ataque con diferentes nombres, pero sin duda
aparecerán variantes, quizás no detectadas, en los próximos días. Por
ahora, su difusión es bastante discreta.
En Excel 2002 y 2003, el programa preguntará si se quiere abrir, salvar
o cancelar la acción antes de abrir el archivo manipulado, lo que supone
una pequeña forma de mitigar el problema. En Excel 2000 lo abrirá de
forma automática.
No existe parche oficial, y Microsoft no se ha pronunciado sobre fechas
de publicación. Mientras, recomienda mitigar el impacto del problema a
través de algunas modificaciones en el registro.
Para Excel 2003, Microsoft recomienda evitar el "modo recuperación" de
Excel. Para ello se debe acceder a la siguiente rama del registro:
HKEY_CURRENT_USER/Sofware/Microsoft/Office/11.0/Excel
crear o modificar el valor de "Resiliency" y eliminar la lista ACL
(Access Control List) para que nadie pueda acceder a este valor.
El impacto de esta contramedida podría se calificado de medio. Se
perderá la funcionalidad de recuperación de documentos Excel corruptos.
Después de aplicar esta contramedida Microsoft Excel no intentará
reparar documentos corruptos y no se recuperará si se abre un documento
mal formado. Si esto ocurre será necesario eliminar los procesos a mano.
Aparte de estas medidas, y a la espera de posibles virus o malware en
general que pretendan aprovechar este problema y replicarse a través de
correo electrónico, se recomienda limitar o eliminar si es posible los
archivos adjuntos en este formato a nivel de servidor perimetral de
correo. Además, se deberá impedir que otros componentes de Windows como
Outlook o Internet Explorer, ejecuten de forma automática archivos Excel.
Se debe prestar especial atención a este tipo de problemas de seguridad
que afectan a un software tan popular, y sobre los que la información
suele ser escasa o confusa. Muchos usuarios todavía no conciben que
archivos con extensiones históricamente confiables puedan suponer un
problema para sus sistemas. Cualquier archivo puede resultar
potencialmente peligroso siempre que se combinen adecuadamente las
circunstancias. En realidad, sólo es necesario un programa vulnerable
que interprete un fichero que sepa aprovechar esa vulnerabilidad. Con
esta premisa en mente, cualquier archivo puede resultar fatal mucho más
allá de los típicos ejecutables para Windows.
Desde Hispasec se recomienda no abrir correos con adjuntos no
solicitados o no confiables, vigilar los privilegios de usuario y, a ser
posible, utilizar otras herramientas ofimáticas hasta la aparición del
parche.
Más información:
Vulnerability in Excel Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/921365.mspx
Sergio de los Santos
[email protected]
___
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!