21/06/2006 Nueva vulnerabilidad en Microsoft Office
De nuevo, es necesario alertar sobre una vulnerabilidad en Microsoft Office. Concretamente en su componente Excel, pero que muy posiblemente afecte al resto de programas de la suite. Se trata de la tercera vulnerabilidad grave en un mes en este paquete ofimático.
El día 20 de junio aparecía en páginas especializadas en exploits (programas que aprovechan vulnerabilidades) una nueva forma de aprovechar una vulnerabilidad en Microsoft Excel. El programa permite la ejecución de código arbitrario sobre un sistema con los privilegios del usuario que ejecute la aplicación.
Al parecer, es bastante probable que el problema, aunque enfocado en un principio hacia Excel, sea reproducible en el resto de componentes de Microsoft Office y en varias versiones del paquete.
El fallo se debe a un error de límites en la librería hlink.dll a la hora de manejar enlaces dentro de documentos. Esto puede ser aprovechado para provocar desbordamientos de memoria intermedia basados en pila si un usuario pulsa sobre un enlace especialmente manipulado dentro de un documento.
En esta ocasión, el problema sólo se reproduce si se recibe por cualquier medio un archivo Office y el usuario pulsa sobre un hiperenlace contenido en él, no basta con abrir el documento. El exploit es público y está disponible para todo aquel que quiera estudiarlo.
No existe parche oficial y, lógicamente, se recomienda no pulsar en enlaces contenidos en documentos sospechosos que provengan de fuentes confiables o no.
Esta vulnerabilidad se ha convertido en el tercer "0 day" que sufre Microsoft Office un mes. El 19 de mayo se advertía sobre la aparición de un documento Word que cuando era abierto por un usuario con varias versiones de Microsoft Word, ejecutaba código arbitrario en el sistema de forma completamente oculta. Microsoft publicó el día 13 de junio el boletín MS06-027 que solucionaba el problema. El 15 de junio aparecía un nuevo "0 day" en Excel, que permite la ejecución de código arbitrario y del que ayer mismo se publicó un boletín especial de una-al-día. También ayer, día 19, aparece por sorpresa esta nueva amenaza para usuarios de Microsoft Office, de la que todavía no se han observado muestras activas en masa.
Desde Hispasec, una vez más, se recomienda no abrir correos con adjuntos no solicitados o no confiables, vigilar los privilegios de usuario y, a ser posible, utilizar otras herramientas ofimáticas hasta la aparición del parche.
Sergio de los Santos
