Vulnerabilidad Zero-Day en PowerPoint libera troyano
Fuente: http://www.vsantivirus.com/vul-powerpoint-110706.htm
Por Jose Luis Lopez (*)
[email protected]
Se ha hecho público en Internet, un exploit para una
vulnerabilidad del tipo Zero-Day (ver apéndice), el cuál
afecta a Microsoft PowerPoint. La vulnerabilidad permite la
ejecución de código con los mismos privilegios del usuario
actual.
El problema se debe a un fallo desconocido cuando el programa
procesa un documento PPT modificado maliciosamente. Ya
existen al menos tres pruebas de concepto diferentes que
demuestran la vulnerabilidad, además de un caballo de Troya
liberado por el exploit original.
Este troyano no se ha propagado. Ha sido enviado manualmente
solo a blancos específicos, mencionándose ciertas
organizaciones, aunque no se han dado detalles. Al menos una
de ellas estaría en Hong Kong, China.
Para esta acción se usaron correos electrónicos conteniendo
un documento de PowerPoint como adjunto. Microsoft confirmó
estos ataques, aunque todo indicaría que su incidencia ha
sido mínima hasta el momento.
El principal componente afectado parece ser MSO.DLL (MSO9.DLL
en versiones anteriores de Office). El mismo componente ha
sido víctima recientemente de otra vulnerabilidad que afecta
a Microsoft Office (ver "Denegación de servicio en MS Office
(LsCreateLine)", http://www.vsantivirus.com/vul-office-
090706.htm). MSO.DLL (o MSO9.DLL), es una biblioteca
compartida por varias aplicaciones de Office, como Excel,
Access, Publisher, Outlook, Word y por supuesto PowerPoint.
El fallo se debe a la corrupción de la memoria utilizada por
la aplicación a partir de una cadena malformada. Sin contar
el exploit mencionado antes, las pruebas de concepto
conocidas solo provocan que el programa finalice su ejecución
de forma abrupta.
La vulnerabilidad fue revelada el mismo día que Microsoft
publicó su ronda de actualizaciones de seguridad, algo que
seguramente no ha sido una simple casualidad. La explotación
de aplicaciones ampliamente utilizadas, son hoy día el blanco
principal de los creadores de malwares.
Al liberar códigos maliciosos apenas se descubren fallos
críticos, se aumenta la posibilidad de conseguir una mayor
cantidad de equipos desprotegidos para plantar en ellos sus
troyanos, los cuáles en su mayoría son utilizados para
actividades delictivas que les reporta a sus creadores
enormes ganancias económicas (phishing, robo de información
bancaria, etc.)
Aunque no existe información oficial de cuáles versiones de
PowerPoint son afectadas, las pruebas indican que los
exploits son capaces de ejecutarse en todos los Windows (95,
98, 98 SE, Me, NT, 2000, XP y Server 2003). También las
versiones para Mac y PowerPoint Viewer (el visor de
documentos PPT), parecen ser afectados.
ESET NOD32 y otros productos antivirus, han publicado la
detección genérica para el exploit que permite la ejecución
de código, y al propio troyano que libera. Sin embargo, es
importante recordar que al existir ya al menos tres pruebas
de concepto -diferentes del exploit mencionado antes-, nada
impide que surjan nuevos códigos maliciosos que se aprovechen
de este problema, por lo que se aconseja no abrir documentos
de ningún tipo que no hayan sido solicitados, o que hayan
sido descargados de sitios web desconocidos, al menos hasta
que Microsoft no publique una actualización para corregir
esta vulnerabilidad.
El troyano detectado muestra caracteres chinos cuando el
documento de PowerPoint es abierto, y luego se inyecta al
proceso Explorer.exe de Windows para realizar otras tareas
maliciosas.
* Más información:
Exploit.PPDrop. Explota vulnerabilidad en PowerPoint
http://www.vsantivirus.com/exploit-ppdrop.htm
Vulnerabilidades Zero Day (Día cero)
Cuando está aplicado a la información, el "Zero Day"
significa generalmente información no disponible
públicamente. Esto se utiliza a menudo para describir
exploits de vulnerabilidades a la seguridad que no son
conocidas por los profesionales del tema.
El término "Zero Day exploits" o "Zero Day vulnerabilities"
está a veces mal utilizado para indicar exploits y/o
vulnerabilidades hechas públicas, para los cuáles no existen
parches o soluciones.
Lo anterior es dificultoso de definir, si no se tiene claro
el punto en que un exploit cambia de ser un "Zero Day" a no
serlo.
El proceso "Zero Day", por definición es desconocido, por lo
que no es provechoso utilizar como punto de referencia el
"antes o después" de ser de conocimiento público. ¿Cómo
definiría conocimiento público?
Antes y después de un parche, es mucho más útil porque el
parche tiene una fecha oficial para indicar hasta que día un
exploit funcionó y después de cuál ya no lo hizo. En ese
punto deja de ser un "Zero Day".
No podemos definir claramente si antes del parche algunas
personas sabían del problema, y otras personas no sabían de
él. Por lo tanto definiríamos "Zero Day" como cualquier
exploit que no haya sido mitigado por un parche del vendedor.
Fuente: Wikipedia y otros
(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director técnico y gerente general de ESET NOD32 Uruguay.
__
Por Jose Luis Lopez (*)
[email protected]
Se ha hecho público en Internet, un exploit para una
vulnerabilidad del tipo Zero-Day (ver apéndice), el cuál
afecta a Microsoft PowerPoint. La vulnerabilidad permite la
ejecución de código con los mismos privilegios del usuario
actual.
El problema se debe a un fallo desconocido cuando el programa
procesa un documento PPT modificado maliciosamente. Ya
existen al menos tres pruebas de concepto diferentes que
demuestran la vulnerabilidad, además de un caballo de Troya
liberado por el exploit original.
Este troyano no se ha propagado. Ha sido enviado manualmente
solo a blancos específicos, mencionándose ciertas
organizaciones, aunque no se han dado detalles. Al menos una
de ellas estaría en Hong Kong, China.
Para esta acción se usaron correos electrónicos conteniendo
un documento de PowerPoint como adjunto. Microsoft confirmó
estos ataques, aunque todo indicaría que su incidencia ha
sido mínima hasta el momento.
El principal componente afectado parece ser MSO.DLL (MSO9.DLL
en versiones anteriores de Office). El mismo componente ha
sido víctima recientemente de otra vulnerabilidad que afecta
a Microsoft Office (ver "Denegación de servicio en MS Office
(LsCreateLine)", http://www.vsantivirus.com/vul-office-
090706.htm). MSO.DLL (o MSO9.DLL), es una biblioteca
compartida por varias aplicaciones de Office, como Excel,
Access, Publisher, Outlook, Word y por supuesto PowerPoint.
El fallo se debe a la corrupción de la memoria utilizada por
la aplicación a partir de una cadena malformada. Sin contar
el exploit mencionado antes, las pruebas de concepto
conocidas solo provocan que el programa finalice su ejecución
de forma abrupta.
La vulnerabilidad fue revelada el mismo día que Microsoft
publicó su ronda de actualizaciones de seguridad, algo que
seguramente no ha sido una simple casualidad. La explotación
de aplicaciones ampliamente utilizadas, son hoy día el blanco
principal de los creadores de malwares.
Al liberar códigos maliciosos apenas se descubren fallos
críticos, se aumenta la posibilidad de conseguir una mayor
cantidad de equipos desprotegidos para plantar en ellos sus
troyanos, los cuáles en su mayoría son utilizados para
actividades delictivas que les reporta a sus creadores
enormes ganancias económicas (phishing, robo de información
bancaria, etc.)
Aunque no existe información oficial de cuáles versiones de
PowerPoint son afectadas, las pruebas indican que los
exploits son capaces de ejecutarse en todos los Windows (95,
98, 98 SE, Me, NT, 2000, XP y Server 2003). También las
versiones para Mac y PowerPoint Viewer (el visor de
documentos PPT), parecen ser afectados.
ESET NOD32 y otros productos antivirus, han publicado la
detección genérica para el exploit que permite la ejecución
de código, y al propio troyano que libera. Sin embargo, es
importante recordar que al existir ya al menos tres pruebas
de concepto -diferentes del exploit mencionado antes-, nada
impide que surjan nuevos códigos maliciosos que se aprovechen
de este problema, por lo que se aconseja no abrir documentos
de ningún tipo que no hayan sido solicitados, o que hayan
sido descargados de sitios web desconocidos, al menos hasta
que Microsoft no publique una actualización para corregir
esta vulnerabilidad.
El troyano detectado muestra caracteres chinos cuando el
documento de PowerPoint es abierto, y luego se inyecta al
proceso Explorer.exe de Windows para realizar otras tareas
maliciosas.
* Más información:
Exploit.PPDrop. Explota vulnerabilidad en PowerPoint
http://www.vsantivirus.com/exploit-ppdrop.htm
Vulnerabilidades Zero Day (Día cero)
Cuando está aplicado a la información, el "Zero Day"
significa generalmente información no disponible
públicamente. Esto se utiliza a menudo para describir
exploits de vulnerabilidades a la seguridad que no son
conocidas por los profesionales del tema.
El término "Zero Day exploits" o "Zero Day vulnerabilities"
está a veces mal utilizado para indicar exploits y/o
vulnerabilidades hechas públicas, para los cuáles no existen
parches o soluciones.
Lo anterior es dificultoso de definir, si no se tiene claro
el punto en que un exploit cambia de ser un "Zero Day" a no
serlo.
El proceso "Zero Day", por definición es desconocido, por lo
que no es provechoso utilizar como punto de referencia el
"antes o después" de ser de conocimiento público. ¿Cómo
definiría conocimiento público?
Antes y después de un parche, es mucho más útil porque el
parche tiene una fecha oficial para indicar hasta que día un
exploit funcionó y después de cuál ya no lo hizo. En ese
punto deja de ser un "Zero Day".
No podemos definir claramente si antes del parche algunas
personas sabían del problema, y otras personas no sabían de
él. Por lo tanto definiríamos "Zero Day" como cualquier
exploit que no haya sido mitigado por un parche del vendedor.
Fuente: Wikipedia y otros
(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director técnico y gerente general de ESET NOD32 Uruguay.
__
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!