La primera pista que se encontró sobre esta vulnerabilidad fue a través de un usuario de una compañía que detectó un dominio incorrecto en un correo que parecía completamente legítimo. Se hacía pasar por un email interno, incluso incluía firmas e iba dirigido expresamente a la víctima elegida. Por supuesto, tampoco era detectado por ningún antivirus. Al contrario que la mayoría del malware que conocemos, que suele ser genérico y lanzado indiscriminadamente contra cualquiera que posea un sistema desprotegido, esta era una amenaza directa a la compañía que lo estaba recibiendo, un ataque perpetrado especialmente contra ellos. Esto lo ha convertido en una amenaza solapada y oculta durante no se sabe cuánto tiempo.
Los correos en cuestión contienen un adjunto en formato Word (extensión .doc) que aprovecha una vulnerabilidad no conocida hasta ahora (funciona sobre un sistema totalmente parcheado hasta la fecha) para ejecutar código bajo los permisos del usuario que pretendiese conocer su contenido haciendo uso de Microsoft Office 2002 ó 2003. En ese momento el sistema descarga y ejecuta un troyano. A partir de aquí el troyano limpia sus huellas sobrescribiendo el documento Word original por uno no infectado. Tiene además una funcionalidad de rootkit, de forma que oculta al Explorer uno de los ficheros implicados en el exploit (winguis.dll). Según el propio descubridor, que envió sus muestras a Virustotal.com, ningún antivirus lo reconocía como tal en ese momento.
Para el usuario, mientras se realiza todo el proceso de infección, Word deja de responder con un error y se ofrece la opción de reabrir el archivo. Si se acepta, el nuevo documento que no contiene ningún tipo de infección es abierto sin problemas.
Hasta ahora se han reconocido dos variantes clasificadas por las casas antivirus como GinWui.A y GinWui.B, pero todavía no se ha detectado una presencia masiva. Es cuestión de tiempo que ocurra, en cuanto los detalles técnicos se hagan públicos.
Según eEye, los asuntos de los correos que cargan con el archivo de Word adjunto son:
«Notice» y «RE Plan for final agreement«
Y el nombre de los archivos en sí:
«NO.060517.doc.doc» y «PLANNINGREPORT5-16-2006.doc«
El fallo ha sido verificado en Microsoft Word 2002 y Microsoft Word 2003 aunque otros componentes de Office podrían verse afectados. Ni Word Viewer 2003 ni Office 2000 son vulnerables al problema. El archivo no se ejecuta de forma automática, sino que es necesario que el usuario ejecute el archivo dañino (con una de las versiones de Office) para que se libere el código en su sistema. Si el usuario es administrador, GinWui tendrá total control sobre el ordenador.
Microsoft ha declarado que publicará un parche de seguridad, como máximo, el día 13 de junio. Mientras, recomienda utilizar Microsoft Word en modo seguro. Para ello, según Microsoft, es necesario deshabilitar la funcionalidad de Outlook para usar Word como editor de correo electrónico y ejecutar winword.exe siempre con el parámetro «/safe«.
Este GinWui llama la atención por haberse descubierto de una forma poco habitual. Normalmente, tratándose de un «0 day», se alerta de alguna vulnerabilidad que permite la ejecución de código y se hacen públicos los detalles para sacar partido de ella cuando todavía no existe parche oficial. A partir de ahí, en pocos días, aparecen virus y malware en general capaz de aprovecharla en su propio beneficio y que son lanzados de forma masiva para infectar al mayor número de sistemas posible. En ese momento las casas antivirus capturan su firma y se convierte en un virus fichado. Con GinWui, por el contrario, la vulnerabilidad se ha descubierto a través de un troyano que ya era capaz de aprovecharla siendo ésta previamente desconocida y, además, «gracias» a un ataque construido específicamente contra una compañía. Es a partir de ahora cuando el procedimiento se asemeja al «tradicional», esto es, los detalles se hacen públicos, los ataques se multiplican y casi todas las casas antivirus reconocen el troyano. La peligrosidad desciende aunque siga siendo alta.
Como advertía en un boletín anterior, el hecho de conocer algún mecanismo que permite tomar el control de un sistema y que no es detectado por nada ni por nadie hasta ese momento, tiene mayor valor en tanto en cuanto es conocido por un menor número de personas. En estos casos la amenaza resulta real y tremendamente peligrosa, y este ha sido uno de esos casos. Realmente nunca se sabrá durante cuánto tiempo esta vulnerabilidad ha sido conocida por unos pocos, que la han usado discretamente en su propio beneficio y el valor de lo que han podido llegar a obtener de los sistemas infectados.
Desde Hispasec se recomienda no abrir correos con adjuntos no solicitados o no confiables, vigilar los privilegios de usuario y, a ser posible, utilizar otras herramientas ofimáticas hasta la aparición del parche.
Más información:
Microsoft Word Vulnerability
http://www.us-cert.gov/cas/techalerts/TA06-139A.html
Targeted attack: experience from the trenches
http://isc.sans.org/diary.php?storyid=1345
Exploits Circulating for Zero Day Flaw in Microsoft Word
http://www.eeye.com/html/resources/newsletters/alert/pub/AL20060523.html
Sergio de los Santos
ssantos@hispasec.com
Noticias Hispasec
