Los componentes web Office (OWC) son controles ActiveX que permiten acceder a los usuarios a una versión reducida de las aplicaciones Office desde el navegador sin necesidad de tener que instalar de forma completa el paquete Microsoft Office. En la mayoría de las ocasiones se trata de visualizadores de los documentos Office que permiten al usuario su lectura, pero no contemplan el resto de funcionalidades avanzadas de creación y edición que incluyen las versiones completas de las aplicaciones.
El parche distribuido por Microsoft corrige tres vulnerabilidades de estos controles ActiveX que podrían ser explotadas por un atacante de forma remota a través de una página web o un mensaje de correo electrónico en formato HTML. Los problemas son provocados por una mala implementación y la permisividad de algunas funciones en materia de seguridad que permiten a un tercero explotarlas de forma indiscriminada. Al ser controles firmados por Microsoft, y por tanto reconocidos como seguros y confiables por Windows, el sistema da carta blanca para que puedan realizar cualquier tipo de acción.
Este es uno de los talones de Aquiles de basar toda la seguridad en la firma digital de las aplicaciones, que seguirá existiendo pese a «Palladium», de la misma forma que seguirán existiendo los virus informáticos, si bien me reservo esta discusión para otra entrega de «una-al-día».
Volviendo al tema que nos ocupa, los métodos y funciones de los controles ActiveX que permiten explotar las vulnerabilidades son Host(), LoadText() y Copy()/Paste(). El primero de ellos es el más crítico, ya que permite ejecutar comandos en el sistema de forma indiscriminada a través de una aplicación Office. Con LoadText() el atacante podría leer cualquier archivo del sistema de la víctima. Mientras que con Copy()/Paste() es posible acceder al contenido del portapapeles.
Estos problemas son recurrentes, por ejemplo a principios de 1999 se descubrió que el ActiveX TexBox de Microsoft Froms 2.0 permitía realizar una operación de pegado sin ninguna restricción de seguridad. De esta forma, los datos del portapapeles podían ser transferidos a una caja de entrada de formulario y enviados a un web malicioso.
Por descontado, se recomienda la instalación de los parches a todos los usuarios que pudieran estar afectados, (comprobar si poseen alguna aplicación de las mencionadas al comienzo de la noticia). En el boletín de Microsoft dedicado a esta actualización encontrarán los enlaces según producto e idioma, disponible en la dirección:
http://www.microsoft.com/technet/security/bulletin/MS02-044.asp
Bernardo Quintero
bernardo@hispasec.com
