Recopilación y análisis de las últimas vulnerabilidades en Microsoft Office


Desde hace más de seis meses, la suite Microsoft Office se está convirtiendo en uno de los métodos favoritos de los atacantes para ejecutar código arbitrario de forma inadvertida en sus víctimas. De la última oleada de problemas encontrados, además, se han hecho ya públicos dos exploits funcionales.





Desde el 5 de diciembre de 2006, se han acumulado hasta cinco
vulnerabilidades 0day en Office, sin parche oficial, que están siendo
aprovechadas de forma activa y que según Microsoft se corresponden con
ataques muy limitados. Sin embargo para varias de ellas ya existen
pruebas de concepto públicas.

La primera vulnerabilidad se dio a conocer el día 5 de diciembre de
2006. La segunda vulnerabilidad encontrada fue reconocida por Microsoft
el día 10 de diciembre. Insistían en lo limitado del ataque. No se ha
hecho públicas pruebas de concepto de estos fallos.

El día 12 de diciembre, que correspondía con el ciclo de actualizaciones
de Microsoft, no se publicaron soluciones para estos dos problemas.
Apenas unas horas después, se volvía a alertar sobre otro fallo que
afectaba a Microsoft Word, descubierto a través de la publicación de una
prueba de concepto. Hoy, casi dos meses después, sólo 15 de los 29
antivirus (apenas un 51%) disponibles en VirusTotal.com es capaz de
reconocer esa muestra (un archivo Word).

Symantec daba a conocer la existencia de un nuevo problema de ejecución
de código en Word 2000 el día 25 de enero de 2007. Es para esta
vulnerabilidad para la que acaba de aparecer un nuevo exploit público
que a 5 de febrero, sólo detectan 6 antivirus de los 29 disponibles en
VirusTotal.com (apenas un 20%).

Posteriormente, el día 30 de enero, Symantec alertaba sobre otro posible
problema, pero poco después se confirmaba que en realidad se trataba de
una variante de una de las vulnerabilidades descubiertas en diciembre.
No es la primera vez que se lanza una falsa alarma de este tipo.

Por último, el 2 de febrero Microsoft publicaba una alerta sobre una
nueva vulnerabilidad en Office, que en esta ocasión está siendo atacada
a través de archivos Excel y afecta incluso a la versión de Office para
Mac, permitiendo la ejecución de código arbitrario.

Y es que este bombardeo de vulnerabilidades puede llegar a abrumar a
cualquier usuario, sobre todo teniendo en cuenta que no se tienen
detalles sobre la mayoría y resulta complicado diferenciarlas entre
ellas. Para las casas antivirus no es más fácil. Además, es
especialmente complejo encontrar un nombre adecuado, y no suelen ponerse
de acuerdo en el tipo de malware que puede alojar habitualmente un
exploit de una vulnerabilidad concreta. Por ello algunas casas han
decidido (muy acertadamente) bautizar con el código estándar CVE (Common
Vulnerabilities and Exposures) de la vulnerabilidad a la amenaza que
constituye un archivo que intenta aprovecharla.

De esta forma, por ejemplo ClamAV detecta Exploit.MSWord.CVE_2006_6561,
mientras que CAT-QuickHeal clasifica otro de estos exploits como
Threat.CVE-2007-0515. Otros optan por nombres propios, todos distintos,
que no hacen más que añadir confusión a este baile de vulnerabilidades y
malware alrededor de la suite de Microsoft

Más información:

New Report of A Word Zero Day (2006-6456)
http://blogs.technet.com/msrc/archive/2006/12/10/new-report-of-a-word-zero-day.aspx

Vulnerability in Microsoft Word Could Allow Remote Code Execution(CVE-2006-5994)
http://www.microsoft.com/technet/security/advisory/929433.mspx

Microsoft Word Code Execution Vulnerability (CVE-2006-6561)
http://www.securityfocus.com/bid/21589

Multiple Organizations Targeted by Zero-Day Exploit
http://www.symantec.com/enterprise/security_response/weblog/2007/01/multiple_organizations_targett.html

New Microsoft Word 2000 Vulnerability
http://www.symantec.com/enterprise/security_response/weblog/2007/01/new_microsoft_word_2000_vulner.html

Vulnerability in Microsoft Office Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/932553.mspx

Fuente:
Sergio de los Santos
hispasec.com



Otras noticias de interés:

Carta abierta a NVIDIA desde la comunidad GNU/Linux
Se ha publicado una carta abierta dirigida hacia NVIDIA con la intención de que nos hagan saber si van a hacer algún movimiento con respecto a sus drivers gráficos para GNU/Linux, junto con una petición para que colaboren con los desarrolladores ...
Linux kernel 3.9
El fundador de Linux, Linus Torvalds, publicó ayer lunes la versión 3.9 del kernel de Linux y, entre las numerosas novedades y mejoras, llama especialmente la atención el soporte para PC portátiles con sistema operativo Chrome de Google. ...
Software ibre en Maracay - Venezuela
Invitamos cordialmente a toda la comunidad a participar en el evento que se llevara cabo este 10 de diciembre en las instalaciones de la Universidad Bicentenaria de Aragua. ...
Nueva Ley SOPA en gestación
Una nueva ley SOP” se estaría gestando enmascarada como un proyecto de ciberseguridad....
Google aconseja cómo crear y usar tus contraseñas
El blog oficial de la empresa ha iniciado una serie de artículos acerca de la seguridad en la red de redes en el que comienzan hablando de la creación y gestión de las contraseñas, con consejos prácticos que no está de más tratar de seguir....
Nuevo ataque contra MS-Office en forma de troyano
La conocida empresa de seguridad Symantec, advierte a todos los usuarios que ejecutan versiones más recientes de Microsoft Office, de la existencia de un troyano, que es capaz de explotar una vulnerabilidad. ...
Primer troyano para MAC que detecta la virtualización
Desde el blog de F-Secure alertan de la aparición del primer troyano para Mac (Mac Trojan Flashback.B Checks for VM) que detecta si está siendo ejecutado en una máquina virtual, para así alterar su comportamiento y evitar ser analizado. ...
El famoso juego Battlefield 2142 con Spyware!
Hay una novedad en cuanto a la noticia relacionada al spyware que vendría incluido en Battlefield 2142, noticia que probablemente sorprendió a muchos. ...
Ejecución de código en Mozilla Firefox. No existe parche oficial disponible
Se ha publicado un exploit para Mozila Firefox 3.5 que permite la ejecución de código si un usuario visita una página web especialmente manipulada. No existe parche oficial disponible....
Curso de programación PHP en Caracas - Venezuela
El próximo 04 y 05 DE OCTUBRE 2008, la Gente de PHP de Venezuela organiza un curso Nivel I (para principiantes). Requisito indispensable conocimientos de HTML...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • analisis
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • recopilacion
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • ultimas
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra