Todavía no se han corregido todos los problemas de seguridad en Excel
Aunque el superparche de Microsoft destinado a Excel y publicado bajo el boletín MS06-037 cubría ocho importantes problemas de seguridad, tres de los cuatro fallos descubiertos durante el último mes han quedado sin reparación oficial.
El parche publicado el pasado día 13 solventaba ocho problemas de seguridad. Entre ellos se encontraba un “viejo conocido”, referente a la corrupción de memoria a la hora de usar la función de reparación de documentos. Esto permitía la ejecución de código arbitrario gracias a un exploit público que estaba siendo usado activamente en la Red para instalar malware (Mdropper.G, Booli.A, Flux.E, Booli.B…). Este problema fue descubierto a mediados de junio.
Pero existen además tres problemas anunciados que no han sido todavía resueltos. Uno es el referente a los enlaces en documentos de Office. En principio se creyó que afectaba sólo a Excel, pero Microsoft confirmó que es posible que otros componentes de Office también sean vulnerables. El fallo se debe a un error de límites en la librería hlink.dll a la hora de manejar enlaces dentro de documentos. Esto puede ser aprovechado para provocar desbordamientos de memoria intermedia basados en pila si un usuario pulsa sobre un enlace especialmente manipulado dentro de un documento, lo que permitiría la ejecución de código. De hecho existen varias formas públicas de conseguirlo, una de ellas llamada Urxcel.A.
Otro de los problemas no solucionados está relacionado con el manejo de componentes Shockwave Flash dentro de documentos. Es posible ejecutar código arbitrario nada más abrir un documento Excel que en su interior contenga un objeto Flash especialmente manipulado. Si bien no existe parche, Microsoft recomienda activar los kill bits de los controles ActiveX, tal y como se describe en http://support.microsoft.com/kb/240797/EN-US/ para protegerse. Este problema está siendo aprovechado por malware como Flemex.A.
Por último, existe un último problema sin solucionar que puede ser aprovechado para ejecutar código arbitrario si un usuario repara un archivo especialmente manipulado o pulsa sobre la opción “estilos”. Este se conoce como “caso Nanika” por ser el apodo de su descubridor, y por existir una prueba de concepto llamada nanika.xls. Al parecer sólo afecta a versiones asiáticas del producto y fue descubierto el día 2 de julio.
Los problemas de seguridad en productos ofimáticos, no sólo de Microsoft, van en aumento. Estos últimos han corregido 19 problemas de seguridad con su suite en los últimos cuatro meses, y todavía, por lo visto, queda trabajo por hacer. Además, se añade el problema de los cada vez más habituales 0day, o fallos de seguridad que aparecen públicamente con exploit y sin parche. En este ciclo de actualización, si se tiene en cuenta que han sido ocho los problemas corregidos y tres los que quedan sin resolver, sólo siete de once fueron reportados de forma privada a Microsoft. El resto comenzaron a ser aprovechados sin que existiese parche para solucionarlos.
Al menos, el hecho de que haya podido dar “nombre” a los virus o troyanos que intentan aprovecharse de estos problemas, significa que algunas versiones son detectadas por algunos antivirus actualizados y en consecuencia serán bloqueados antes de actuar. Esto, obviamente, no garantiza nada puesto que aparecerán nuevas versiones indetectables en poco tiempo. Es en estos casos en que los parches oficiales, por una razón u otra, se retrasan, cuando los antivirus pueden demostrar también su utilidad.
En cualquier caso, evitar la apertura de documentos Office sospechosos, actualizar sistema y antivirus, interactuar con el entorno bajo cuentas de usuario limitadas o utilizar herramientas alternativas para la ofimática, suponen la mejor protección.