Microsoft admitió una brecha de seguridad en la planilla de cálculo. Se recomienda no abrir archivos que sean de dudosa procedencia

El Excel, la planilla de cálculo desarrollada por Microsoft y uno de los programas de oficina más populares del mundo, tiene una vulnerabilidad crítica que podría estar siendo explotada desde hace dos meses por delincuentes informáticos.

Según informó la propia compañía el 24 de febrero en una nota oficial, en Microsoft investigan la existencia de una nueva vulnerabilidad en el Excel, incluido en el paquete de aplicaciones Office, que podría permitir la ejecución remota de código si un usuario abre un archivo de la planilla de cálculo especialmente manipulado.

La vulnerabilidad, de la que se han dado pocos detalles, estaría causada por una referenciación a un objeto no válido al abrir un documento Excel, lo que podría permitir la ejecución de código.

Si el usuario abriese el archivo con permisos de administrador, el atacante podría tomar completo control del sistema afectado, advirtió Pablo Molina, de la empresa de seguridad informática española Hispasec.

De acuerdo con la nota de Microsoft, la vulnerabilidad estaría siendo explotada en “ataques limitados a objetivos concretos” y no de forma masiva.

Esta información coincide con la apuntada por Vincent Weafer (vicepresidente del equipo de respuestas de seguridad de Symantec), quien afirmó que el fallo era aprovechado para comprometer sistemas en Asia, principalmente en oficinas gubernamentales y de grandes corporaciones.

Microsoft ha confirmado que los siguientes productos y versiones están afectados por la vulnerabilidad, pasando a ser objetivos de ataque:

* Microsoft Office Excel 2000 Service Pack 3
* Microsoft Office Excel 2002 Service Pack 3
* Microsoft Office Excel 2003 Service Pack 3
* Microsoft Office Excel 2007 Service Pack 1
* Microsoft Office Excel Viewer 2003
* Microsoft Office Excel Viewer 2003 Service Pack 3
* Microsoft Office Excel Viewer
* Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007
* File Formats Service Pack 1
* Microsoft Office 2004 for Mac
* Microsoft Office 2008 for Mac

Dada la amplia gama de productos afectados, se recomienda no abrir archivos Excel de dudosa procedencia.

El Office para Mac también está entre las versiones vulnerables, por lo que estas precauciones se hacen extensibles a los usuarios de la suite ofimática sobre sistemas operativos de Apple.

En la entrada titulada “Detection Added For The New 0-day In Excel” del blog de investigación y respuesta ante amenazas del Microsoft Malware Protection Center se añade información (ver al final de la nota).

Se especifica que los archivos maliciosos se usarían como ‘droppers’, encargados de descargar e instalar otro tipo de malware, y además se proporciona una pequeña lista con los hashes SHA1 de algunos de los archivos que contienen el exploit. Según Molina, serían estos:

* 46181cf01e08b1760cecac95bbd486dd3b808988
* 6605bf6aee31f0cb2370d684aa32e5a588d4aaf4
* 675b12b1e50c9463576061cf5181a3f58dc30e59
* 7fe5481b1edc4df99488f5cc0f65f70fa35978d6
* 968ad6a8259ddf5f9705fef2ba2eaa3b63b1626f

Haciendo una búsqueda del primer hash en VirusTotal.com se comprueba que el archivo fue enviado y analizado por primera vez el 26 de diciembre. Dato indicativo de que una primera versión del exploit podría estar siendo utilizada desde hace más de dos meses, apuntó Molina.

En ese momento era detectado por 6 de los 39 motores de VirusTotal. Si se realiza ahora el análisis de la misma muestra la situación no ha cambiado mucho. A los 6 motores que lo detectaban entonces se ha sumado otro más, el de Microsoft, que lo identifica con una firma específica (Exploit:Win32/Evenex.gen).

Se desconoce cuando estará disponible una actualización de seguridad para Excel. Molina estima que se lanzaría el 10 de marzo cumpliendo con el ciclo de actualizaciones de seguridad programadas por Microsoft.

Aunque dada la importancia del fallo, cabe la posibilidad de que se publique como actualización independiente y fuera del ciclo.

Como contramedida, Microsoft recomienda la utilización de MOICE para Office 2003 y 2007 (Microsoft Office Isolated Conversion Environment, es decir, Entorno aislado de conversión de Microsoft Office) para abrir los archivos no confiables.

MOICE convertiría los documentos binarios de Office a un nuevo formato XML abierto, mecanismo para que los clientes preprocesen los documentos binarios de Office potencialmente no seguros.

También se puede usar otras suites ofimáticas como OpenOffice, para abrir los archivos no confiables o de dudosa procedencia.

Más Información:
Microsoft Security Advisory (968272): Vulnerability in Microsoft Office Excel Could Allow Remote Code Execution: http://www.microsoft.com/technet/security/advisory/968272.mspx

Trojan.Mdropper.AC: http://www.symantec.com/security_response/writeup.jsp?docid=2009-022310-4202-99&tabid=1

Microsoft Malware Protection Center - Threat Research & Response Blog: Detection Added For The New 0-day In Excel: http://blogs.technet.com/mmpc/archive/2009/02/25/detection-added-for-the-new-0-day-in-excel.aspx

VirusTotal.com (26/12/2008 - SHA1: 46181cf01e08b1760cecac95bbd486dd3b808988): http://www.virustotal.com/analisis/fab147fe0e294c4eceb43961324d7fbd

Descripción de la actualización del Entorno aislado de conversión de Microsoft Office (MOICE): http://support.microsoft.com/kb/935865

iProfesional.com

http://tecnologia.infobaeprofesional.com/notas/79016-El-Excel-se-convierte-en-un-objetivo-de-los-delincuentes-informaticos.html