Recopilación y análisis de las últimas vulnerabilidades en Microsoft Office

De la última oleada de problemas encontrados, además, se han hecho ya públicos dos exploits funcionales.

Desde el 5 de diciembre de 2006, se han acumulado hasta cinco vulnerabilidades 0day en Office, sin parche oficial, que están siendo aprovechadas de forma activa y que según Microsoft se corresponden con ataques muy limitados. Sin embargo para varias de ellas ya existen pruebas de concepto públicas.

La primera vulnerabilidad se dio a conocer el día 5 de diciembre de 2006. La segunda vulnerabilidad encontrada fue reconocida por Microsoft el día 10 de diciembre. Insistían en lo limitado del ataque. No se ha hecho públicas pruebas de concepto de estos fallos.

El día 12 de diciembre, que correspondía con el ciclo de actualizaciones de Microsoft, no se publicaron soluciones para estos dos problemas. Apenas unas horas después, se volvía a alertar sobre otro fallo que afectaba a Microsoft Word, descubierto a través de la publicación de una prueba de concepto. Hoy, casi dos meses después, sólo 15 de los 29 antivirus (apenas un 51%) disponibles en VirusTotal.com es capaz de reconocer esa muestra (un archivo Word).

Symantec daba a conocer la existencia de un nuevo problema de ejecución de código en Word 2000 el día 25 de enero de 2007. Es para esta vulnerabilidad para la que acaba de aparecer un nuevo exploit público que a 5 de febrero, sólo detectan 6 antivirus de los 29 disponibles en VirusTotal.com (apenas un 20%).

Posteriormente, el día 30 de enero, Symantec alertaba sobre otro posible problema, pero poco después se confirmaba que en realidad se trataba de una variante de una de las vulnerabilidades descubiertas en diciembre. No es la primera vez que se lanza una falsa alarma de este tipo.

Por último, el 2 de febrero Microsoft publicaba una alerta sobre una nueva vulnerabilidad en Office, que en esta ocasión está siendo atacada a través de archivos Excel y afecta incluso a la versión de Office para Mac, permitiendo la ejecución de código arbitrario.

Y es que este bombardeo de vulnerabilidades puede llegar a abrumar a cualquier usuario, sobre todo teniendo en cuenta que no se tienen detalles sobre la mayoría y resulta complicado diferenciarlas entre ellas. Para las casas antivirus no es más fácil. Además, es especialmente complejo encontrar un nombre adecuado, y no suelen ponerse de acuerdo en el tipo de malware que puede alojar habitualmente un exploit e una vulnerabilidad concreta. Por ello algunas casas han decidido (muy acertadamente) bautizar con el código estándar CVE (Common Vulnerabilities and Exposures) de la vulnerabilidad a la amenaza que constituye un archivo que intenta aprovecharla.

De esta forma, por ejemplo ClamAV detecta Exploit.MSWord.CVE_2006_6561, mientras que CAT-QuickHeal clasifica otro de estos exploits como Threat.CVE-2007-0515. Otros optan por nombres propios, todos distintos, que no hacen más que añadir confusión a este baile de vulnerabilidades y malware alrededor de la suite de Microsoft.