|
Vulnerabilidad Zero-Day en PowerPoint libera troyano
|
|
VSantivirus No. 2191 Año 10, sábado 15 de julio de 2006
Vulnerabilidad Zero-Day en PowerPoint libera troyano
http://www.vsantivirus.com/vul-powerpoint-110706.htm
Por Jose Luis Lopez (*)
videosoft@videosoft.net.uy
Se ha hecho público en Internet, un exploit para una vulnerabilidad del tipo Zero-Day (ver
apéndice), el cuál afecta a Microsoft PowerPoint. La vulnerabilidad permite la ejecución de código con los mismos privilegios del usuario actual.
El problema se debe a un fallo desconocido cuando el programa procesa un documento PPT modificado maliciosamente. Ya existen al menos tres pruebas de concepto diferentes que demuestran la vulnerabilidad, además de un caballo de Troya liberado por el exploit original.
Este troyano no se ha propagado. Ha sido enviado manualmente solo a blancos específicos, mencionándose ciertas organizaciones, aunque no se han dado detalles. Al menos una de ellas estaría en Hong Kong, China.
Para esta acción se usaron correos electrónicos conteniendo un documento de PowerPoint como adjunto. Microsoft confirmó estos ataques, aunque todo indicaría que su incidencia ha sido mínima hasta el momento.
El principal componente afectado parece ser MSO.DLL (MSO9.DLL en versiones anteriores de Office). El mismo componente ha sido víctima recientemente de otra vulnerabilidad que afecta a Microsoft Office (ver "Denegación de servicio en MS Office (LsCreateLine)",
http://www.vsantivirus.com/vul-office-090706.htm). MSO.DLL (o MSO9.DLL), es una biblioteca compartida por varias aplicaciones de Office, como Excel, Access, Publisher, Outlook, Word y por supuesto PowerPoint.
El fallo se debe a la corrupción de la memoria utilizada por la aplicación a partir de una cadena malformada. Sin contar el exploit mencionado antes, las pruebas de concepto conocidas solo provocan que el programa finalice su ejecución de forma abrupta.
La vulnerabilidad fue revelada el mismo día que Microsoft publicó su ronda de actualizaciones de seguridad, algo que seguramente no ha sido una simple casualidad. La explotación de aplicaciones ampliamente utilizadas, son hoy día el blanco principal de los creadores de malwares.
Al liberar códigos maliciosos apenas se descubren fallos críticos, se aumenta la posibilidad de conseguir una mayor cantidad de equipos desprotegidos para plantar en ellos sus troyanos, los cuáles en su mayoría son utilizados para actividades delictivas que les reporta a sus creadores enormes ganancias económicas (phishing, robo de información bancaria, etc.)
Aunque no existe información oficial de cuáles versiones de PowerPoint son afectadas, las pruebas indican que los exploits son capaces de ejecutarse en todos los Windows (95, 98, 98 SE, Me, NT, 2000, XP y Server 2003). También las versiones para Mac y PowerPoint Viewer (el visor de documentos PPT), parecen ser
afectadas.
ESET NOD32 y otros productos antivirus, han publicado la detección genérica para el exploit que permite la ejecución de código, y al propio troyano que libera. Sin embargo, es importante recordar que al existir ya al menos tres pruebas de concepto -diferentes del exploit mencionado antes-, nada impide que surjan nuevos códigos maliciosos que se aprovechen de este problema, por lo que se aconseja no abrir documentos de ningún tipo que no hayan sido solicitados, o que hayan sido descargados de sitios web desconocidos, al menos hasta que Microsoft no publique una actualización para corregir esta vulnerabilidad.
El troyano detectado muestra caracteres chinos cuando el documento de PowerPoint es abierto, y luego se inyecta al proceso Explorer.exe de Windows para realizar otras tareas maliciosas.
Más información:
Exploit.PPDrop. Explota vulnerabilidad en PowerPoint
http://www.vsantivirus.com/exploit-ppdrop.htm
Apéndice
Vulnerabilidades Zero Day (Día cero)
Cuando está aplicado a la información, el "Zero Day" significa generalmente información no disponible públicamente. Esto se utiliza a menudo para describir exploits de vulnerabilidades a la seguridad que no son conocidas por los profesionales del tema.
El término "Zero Day exploits" o "Zero Day vulnerabilities" está a veces mal utilizado para indicar exploits y/o vulnerabilidades hechas públicas, para los cuáles no existen parches o soluciones.
Lo anterior es dificultoso de definir, si no se tiene claro el punto en que un exploit cambia de ser un "Zero Day" a no serlo.
El proceso "Zero Day", por definición es desconocido, por lo que no es provechoso utilizar como punto de referencia el "antes o después" de ser de conocimiento público. ¿Cómo definiría conocimiento público?
Antes y después de un parche, es mucho más útil porque el parche tiene una fecha oficial para indicar hasta que día un exploit funcionó y después de cuál ya no lo hizo. En ese punto deja de ser un "Zero Day".
No podemos definir claramente si antes del parche algunas personas sabían del problema, y otras personas no sabían de él. Por lo tanto definiríamos "Zero Day" como cualquier exploit que no haya sido mitigado por un parche del vendedor.
Fuente: Wikipedia y otros
(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director técnico y gerente general de ESET NOD32 Uruguay.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|