Problemas de seguridad en productos ofimáticos

Mientras, las vulnerabilidades en Microsoft Office siguen dando que hablar, y algunos creadores de virus aprovechan para volver a los virus de macro.

Las vulnerabilidades descubiertas afectan a las versiones 1.1.x y 2.0.x. OpenOffice.org ha publicado la versión 2.0.3 que resuelve estos problemas. En breve se publicará un parche para la versión 1.1.x.

Los errores son tres:

* Algunos applets de Java pueden saltar fuera de la sandbox, con lo que el código del applet podría tener acceso al sistema con los privilegios del usuario que lo ha ejecutado. Para este problema, si no se aplica el parche, es posible deshabilitar el soporte para los applets de Java y mitigar el problema (aparte de usar privilegios mínimos).

* Existe un fallo a la hora de interpretar ficheros en formato XML que abre la posibilidad de desbordamientos de memoria intermedia en documentos especialmente manipulados. Este error haría que OpenOffice.org dejase de funcionar y potencialmente, cabría la posibilidad de ejecución de código arbitrario.

* Existe por último un fallo en el mecanismo de macros que puede permitir a un atacante incluir ciertas macros que podrían llegar a ejecutarse incluso si el usuario las ha deshabilitado. Estas macros también podrían tener acceso al sistema completo con los privilegios del usuario que lo ejecuta, que no sería advertido de la ejecución en ningún momento. No existe contramedida específica para este fallo, es necesario el parche.

La mayoría de distribuciones ya están proporcionando sus respectivas versiones actualizadas. Se recomienda actualizar desde www.openoffice.org a la versión 2.0.3. Estas son, por ahora, las vulnerabilidades más graves encontradas en este conjunto ofimático. La anterior vulnerabilidad de considerable gravedad se descubrió en abril de 2005, y permitía la ejecución de código con sólo abrir un archivo en formato .doc. En aquel momento, aunque los detalles sobre el problema fueron publicados, no se utilizó la vulnerabilidad para esparcir virus o malware en general de forma masiva. En esta ocasión, además, teniendo en cuenta que los detalles no son públicos, tampoco se prevé que sea aprovechado para infectar sistemas, aunque su creciente popularidad puede terminar por hacerlo objetivo de ataques generalizados.

Este descubrimiento de fallos en el popular programa, coincide con la mala racha de seguridad que lleva el producto equivalente de Microsoft, Office, del que se han descubierto varios problemas muy graves en un breve periodo de tiempo.

Dentro de este continuo desfile de vulnerabilidades, entre las que se incluye un problema con las macros, se añade el tímido intento de aprovechar otros antiguos fallos relacionados con esta funcionalidad. Según informaba ISC SANS desde el pasado 27 de junio se intenta aprovechar, a través del envío masivo de correos, una vulnerabilidad en Microsoft Word de hace cinco años. Se trata de un fallo en Word (2000, 2002, 98…) que permitía la ejecución de macros sin intervención del usuario aunque estuviesen deshabilitadas. En Word 2003 se ejecutaría sólo si se tuviesen habilitadas las macros. Aunque el parche lleve cinco años a disposición de todos, esto no garantiza en absoluto que los usuarios lo hayan aplicado.

Aunque su nivel de infección esté siendo bajo, su difusión ha sido muy alta. Muchos usuarios han recibido una supuesta publicidad en formato .doc, comprimido en .zip que supuestamente contenía precios de productos informáticos. Al ser abierto con un Office vulnerable, el “dropper” bautizado como Kukudro, descargaba a su vez un virus con un importante impacto sobre el sistema.

En el Laboratorio Hispasec además, recibimos una de las primeras muestras de la versión B de Kukudro, que venía esta vez en un simple documento sin comprimir. Esta versión no era detectada por ningún antivirus en el momento en el que la recibimos. Tras su envío a virustotal.com y durante el día, los distintos antivirus fueron añadiendo la firma a su base de datos.

Ningún antivirus lo reconoció por heurística. Es posible que ya no esperen un virus de macro a estas alturas. De hecho, es extraño que el creador intente aprovechar este fallo tan antiguo (además de haberlo programado en VisualBasic) cuando el parche para la vulnerabilidad fue distribuido a través de Windows Update, por lo que muchos usuarios estarán protegidos de forma automática. Con problemas de Office, en la mayoría de las ocasiones, es necesario actualizar la suite “a mano” o a través de officeupdate.microsoft.com, algo que pocos usuarios conocen. Desde el punto de vista del atacante, tendría más “sentido” aprovechar un fallo de Office que no sea corregido a través de las actualizaciones automáticas. Quizás se trate de un virus creado por algún “romántico” (de los que cada vez quedan menos) que ha conseguido una importante distribución, o simplemente alguien que no sabía exactamente lo que estaba haciendo.

Malos tiempos, en definitiva, para fiarse de un documento que llegue de cualquier medio, ya sea abriéndolo con Office, OpenOffice.org en Windows o cualquier otro sistema operativo.