ALERTA VIRUS: DETALLES SOBRE LA VULNERABILIDAD DE MICROSOFT WORD

PORTADA

ULTIMAS NOTICIAS

VIDEOS

CONTACTAR

RSS

BUSCADOR

FORO-CLUB

Twitter Updates

Síguenos en http://twitter.com

Actualizado: 1 de Enero

Noticias

Actualidad

Breves

Catalunya

Noticias Empresas

Panorama Mundial

Secciones

Cine

Cultura

Denuncias

Economía

Entrevistas

Gastronomía-Vinos

Medio ambiente

Moda y Tendencias

Motor

Música

Noticias curiosas

Opinión del Lector

Publi-reportajes

Reportajes

Salud

Tecnología

Latinoamérica

Chile

Otros países

Amigos Informativos

Fotos

Videos

Últimas Noticias

Chevrolet acelera para celebrar su centenario lanzando varios nuevos modelos
lunes, 08 de febrero de 2010

MWC: SuperTooth lanza ‘Buddy’, un kit manos libres bluetooth
lunes, 08 de febrero de 2010

Mozilla distribuye (otra vez) plugins para Firefox infectados con malware desde el sitio oficial
lunes, 08 de febrero de 2010

Nuevo Honda CR-V 2010
lunes, 08 de febrero de 2010

Xavier Oliver: “Internet es una herramienta de dar, dar, dar... gratis ¡que alucinas!”
lunes, 08 de febrero de 2010

La Caixa obtuvo 1.510 millones de euros de beneficios en 2009, Banco de Santander 8.876 millones. ¿Nos lo creemos?
lunes, 08 de febrero de 2010

México: Abre sus puertas el exclusivo club privado FEVER
lunes, 08 de febrero de 2010

Entra en vigor la Ley que impide las llamadas comerciales con número oculto
sábado, 06 de febrero de 2010

Barcelona 080: la firma Tramando apunta maneras partiendo de la artesanía para innovar
viernes, 05 de febrero de 2010

Barcelona 080: Stefanía Borras apuesta por la “no complicación” en formas muy pensadas
viernes, 05 de febrero de 2010

Barcelona 080: Manuel Bolaño descifra la silueta femenina para las próximas temporadas
viernes, 05 de febrero de 2010

Barcelona 080 - Karlotalaspalas: una colección “natural” digna de mención
viernes, 05 de febrero de 2010

Presentada nueva técnica que elimina la grasa corporal con frío: criolipólisis
miércoles, 03 de febrero de 2010

Mel Gibson y el productor Graham King presentaron anoche en Madrid “Al Limite”
martes, 02 de febrero de 2010

Desciende un 13% el paro en el sector comercial en el primer mes del año
martes, 02 de febrero de 2010

Razwar.com ofrece un set de afeitado gratis a todos los europeos
lunes, 01 de febrero de 2010

Cristina Buti ganadora del Gran Premio del Concurso de Saltos nacional Real Club de Polo de Barcelona
lunes, 01 de febrero de 2010

Barcelona 080: Bibian Blue seduce con una prenda tan complica y atemporal como el corset
viernes, 29 de enero de 2010

Barcelona 080: Jan iú Més gana el Premio 080 con un autoplagio del invierno 2009-2010
viernes, 29 de enero de 2010

Pasarela 080 Barcelona fashion: un modelo sin sentido que requiere revisión
viernes, 29 de enero de 2010

Premios Empresariales de Mercados del Vino y la Distribución
jueves, 28 de enero de 2010

Semana de la Moda de París: Georges Chakra Spring/Summer 2010
miércoles, 27 de enero de 2010

LaMejorNaranja.com: directo del árbol a tu mesa
miércoles, 27 de enero de 2010

Trailer en castellano de la película "Sexo en Nueva York 2"
miércoles, 27 de enero de 2010

Carlos Oliveras seduce con su concepto “la pelu del Avenida Palace” en Barcelona
miércoles, 27 de enero de 2010

Carnival Corporation & Plc y sus marcas de cruceros donan 5 millones de dólares para apoyar Haití
lunes, 25 de enero de 2010

Lo mejor del vino nacional e internacional y de la gastronomía valenciana se dan cita en el 9º Encuentro Verema
lunes, 25 de enero de 2010

La importancia de las torres de control para la seguridad operacional en zonas de desastre
lunes, 25 de enero de 2010

Tecnología

ALERTA VIRUS: DETALLES SOBRE LA VULNERABILIDAD DE MICROSOFT WORD

miércoles, 24 de mayo de 2006

A finales de la semana pasada se encontraba una vulnerabilidad en Microsoft Word que puede ser aprovechada por atacantes para comprometer el sistema. El fallo se debe a un error no especificado que puede derivar en la ejecución de código arbitrario. Debido a que el problema está siendo activamente aprovechado y no existe parche oficial, se ha convertido en un "0 day", lo que supone un importante problema de seguridad.

La primera pista que se encontró sobre esta vulnerabilidad fue a través de un usuario de una compañía que detectó un dominio incorrecto en un correo que parecía completamente legítimo. Se hacía pasar por un email interno, incluso incluía firmas e iba dirigido expresamente a la víctima elegida. Por supuesto, tampoco era detectado por ningún antivirus. Al contrario que la mayoría del malware que conocemos, que suele ser genérico y lanzado indiscriminadamente contra cualquiera que posea un sistema desprotegido, esta era una amenaza directa a la compañía que lo estaba recibiendo, un ataque perpetrado especialmente contra ellos. Esto lo ha convertido en una amenaza solapada y oculta durante no se sabe cuánto tiempo.

Los correos en cuestión contienen un adjunto en formato Word (extensión .doc) que aprovecha una vulnerabilidad no conocida hasta ahora (funciona sobre un sistema totalmente parcheado hasta la fecha) para ejecutar código bajo los permisos del usuario que pretendiese conocer su contenido haciendo uso de Microsoft Office 2002 ó 2003. En ese momento el sistema descarga y ejecuta un troyano. A partir de aquí el troyano limpia sus huellas sobrescribiendo el documento Word original por uno no infectado. Tiene además una funcionalidad de rootkit, de forma que oculta al Explorer uno de los ficheros implicados en el exploit (winguis.dll). Según el propio descubridor, que envió sus muestras a Virustotal.com, ningún antivirus lo reconocía como tal en ese momento.
Para el usuario, mientras se realiza todo el proceso de infección, Word deja de responder con un error y se ofrece la opción de reabrir el archivo. Si se acepta, el nuevo documento que no contiene ningún tipo de infección es abierto sin problemas.

Hasta ahora se han reconocido dos variantes clasificadas por las casas antivirus como GinWui.A y GinWui.B, pero todavía no se ha detectado una presencia masiva. Es cuestión de tiempo que ocurra, en cuanto los detalles técnicos se hagan públicos.

Según eEye, los asuntos de los correos que cargan con el archivo de Word adjunto son:

"Notice" y "RE Plan for final agreement"

Y el nombre de los archivos en sí:

"NO.060517.doc.doc" y "PLANNINGREPORT5-16-2006.doc"

El fallo ha sido verificado en Microsoft Word 2002 y Microsoft Word 2003 aunque otros componentes de Office podrían verse afectados. Ni Word Viewer 2003 ni Office 2000 son vulnerables al problema. El archivo no se ejecuta de forma automática, sino que es necesario que el usuario ejecute el archivo dañino (con una de las versiones de Office) para que se libere el código en su sistema. Si el usuario es administrador, GinWui tendrá total control sobre el ordenador.

Microsoft ha declarado que publicará un parche de seguridad, como máximo, el día 13 de junio. Mientras, recomienda utilizar Microsoft Word en modo seguro. Para ello, según Microsoft, es necesario deshabilitar la funcionalidad de Outlook para usar Word como editor de correo electrónico y ejecutar winword.exe siempre con el parámetro "/safe".

Este GinWui llama la atención por haberse descubierto de una forma poco habitual. Normalmente, tratándose de un "0 day", se alerta de alguna vulnerabilidad que permite la ejecución de código y se hacen públicos los detalles para sacar partido de ella cuando todavía no existe parche oficial. A partir de ahí, en pocos días, aparecen virus y malware en general capaz de aprovecharla en su propio beneficio y que son lanzados de forma masiva para infectar al mayor número de sistemas posible. En ese momento las casas antivirus capturan su firma y se convierte en un virus fichado. Con GinWui, por el contrario, la vulnerabilidad se ha descubierto a través de un troyano que ya era capaz de aprovecharla siendo ésta previamente desconocida y, además, "gracias" a un ataque construido específicamente contra una compañía. Es a partir de ahora cuando el procedimiento se asemeja al "tradicional", esto es, los detalles se hacen públicos, los ataques se multiplican y casi todas las casas antivirus reconocen el troyano. La peligrosidad desciende aunque siga siendo alta.

Como advertía en un boletín anterior, el hecho de conocer algún mecanismo que permite tomar el control de un sistema y que no es detectado por nada ni por nadie hasta ese momento, tiene mayor valor en tanto en cuanto es conocido por un menor número de personas. En estos casos la amenaza resulta real y tremendamente peligrosa, y este ha sido uno de esos casos. Realmente nunca se sabrá durante cuánto tiempo esta vulnerabilidad ha sido conocida por unos pocos, que la han usado discretamente en su propio beneficio y el valor de lo que han podido llegar a obtener de los sistemas infectados.

Desde Hispasec se recomienda no abrir correos con adjuntos no solicitados o no confiables, vigilar los privilegios de usuario y, a ser posible, utilizar otras herramientas ofimáticas hasta la aparición del parche.

Más información:

Microsoft Word Vulnerability
http://www.us-cert.gov/cas/techalerts/TA06-139A.html

Targeted attack: experience from the trenches
http://isc.sans.org/diary.php?storyid=1345

Exploits Circulating for Zero Day Flaw in Microsoft Word
http://www.eeye.com/html/resources/newsletters/alert/pub/AL20060523.html

Sergio de los Santos
ssantos@hispasec.com
Noticias Hispasec

Nota: Los comentarios son moderados y no se muestran hasta su aprobación

     Nota: Los comentarios son moderados y no se muestran hasta su aprobación
     No escribas TODO CON MAYUSCULAS
     No des datos personales: mail, telefono, etc...
     Si quieres recibir otras respuestas utiliza la opción "Seguir":
     Ahí puedes introducir tu correo (lo mantiene privado) y pueden comunicarse contigo
     Se consecuente con la opción que te brindamos, haz comentarios serios (con sentido)
     Y lo más importante: ¡Revisa tu ortografía!