Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Ejecución de código sin advertencia en Word y Access
 
VSantivirus No. 669 - Año 6 - Martes 7 de mayo de 2002

 Ejecución de código sin advertencia en Word y Access
http://www.vsantivirus.com/vul-mail-merge.htm

Aviso de seguridad: Ejecución de código sin advertencia en Word y Access
Nombre original: Microsoft Word Mail Merge vulnerability
Fecha original: 6/may/02
Aplicación vulnerable: Office 97/2000/XP y Word 97/2000
Severidad: Grande
Riesgo: Ejecución de código sin advertencia alguna

Hace unos años, se anunciaba una vulnerabilidad que afectaba los productos Microsoft Word y Microsoft Access, y que consistía en la posibilidad de ejecutar código malicioso, sin advertencia alguna para el usuario, al utilizar documentos de ambas aplicaciones en forma conjunta.

Uno de los escenarios puede darse al visitar con el Internet Explorer una página Web con enlaces a un documento Word, o mirando (incluso con la vista previa), un mensaje con formato y enlaces a esos documentos desde el Outlook, para que se ejecute en forma arbitraria cualquier código, cada vez que un documento de Word es abierto.

Solo es necesario el acceso a una base de datos de Access (.mdb), en la máquina local, o en un recurso compartido en red. El acceso puede hacerse a través de la convención de nombres UNC.

UNC (Universal Naming Convention), es una manera de identificar en una red, recursos (archivos) compartidos. El formato más conocido en Windows es: \\nombre\archivo, donde el nombre puede ser el nombre de la máquina o su dirección IP. Un ejemplo (ficticio), \\111.111.111.111\carpeta\archivo.doc

El fallo ocurre porque Word acepta una base de Access como fuente de datos al realizar la mezcla de correo (la opción "mail merge" o "combinar correspondencia").

Y peor aún, Word puede abrir la base de datos y ejecutar scripts VBA.

El código VBA permite la ejecución arbitraria de programas a los que se accede mediante la sintaxis de nombres UNC.

La solución de Microsoft en su momento, fue un parche que rechaza el camino de archivo con esta sintaxis (\\nombre\archivo\) al combinar la correspondencia con Word.

Sin embargo, se ha demostrado que sigue siendo posible explotar la ejecución de código malicioso en forma remota, si el atacante puede poner documentos de Word y de Access en el mismo directorio, o disponer del documento en una ubicación conocida (por ejemplo, en el caché del Internet Explorer).

El archivo de Access puede tener cualquier extensión (.WAV, .HTML o .TXT), ya que no importa. Pero Office 2000 y XP, con los últimos Service Release y Service Pack, no permiten el acceso a archivos en el caché del IE, lo que haría imposible su explotación directa a través del Outlook Express.

Sin embargo, aún es posible su explotación en forma local, o mediante la ingeniería social, por ejemplo, con un troyano que copie los diferentes archivos en una ubicación predeterminada, y luego ejecute, o que obligue a la víctima mediante engaños a hacerlo.

Mejor aún, debido a que el Outlook Express y el Internet Explorer abren archivos .DOC sin ningún mensaje de advertencia, todavía sería posible explotar la vulnerabilidad en forma remota sin la intervención del usuario.

Para ello, pueden adjuntarse el documento y la base de datos en un mensaje, con la misma extensión (.DOC). Mediante una etiqueta IFRAME en el mensaje, puede hacerse que ambos archivos sean grabados en la misma carpeta, y luego ejecutados por Word.

Demás está decir, que lo de combinar correspondencia, es solo anecdótico, porque lo que un atacante buscaría sería la ejecución de código malicioso en forma arbitraria.

Por lo pronto, evite aceptar archivos .DOC a través del correo electrónico, como forma de minimizar el riesgo.


Referencias:

Microsoft Word Mail Merge vulnerability
http://www.security.nnov.ru/search/news.asp?binid=415

Georgi Guninski, MS Word and MS Access vulnerability.
Executing arbitrary programs, may be exploited by IE/Outlook
http://www.security.nnov.ru/search/document.asp?docid=518

Microsoft Security Bulletin (MS00-071)
Patch Available for "Word Mail Merge" Vulnerability
http://www.microsoft.com/technet/security/bulletin/fq00-071.asp



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com 		 

Copyright 1996-2002 Video Soft BBS