• Domingo 22 de Diciembre de 2024, 16:56

Autor Tema:  Vulnerabilidad Zero-day En Powerpoint  (Leído 1846 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Vulnerabilidad Zero-day En Powerpoint
« en: Lunes 17 de Julio de 2006, 15:14 »
0
Se ha hecho público en Internet, un exploit para una vulnerabilidad del tipo Zero-Day, el cuál afecta a Microsoft PowerPoint. La vulnerabilidad permite la ejecución de código con los mismos privilegios del usuario actual. El problema se debe a un fallo desconocido cuando el programa procesa un documento PPT modificado maliciosamente. Ya existen al menos tres pruebas de concepto diferentes que demuestran la vulnerabilidad, además de un caballo de Troya liberado por el exploit original.

Este troyano no se ha propagado. Ha sido enviado manualmente solo a blancos específicos, mencionándose ciertas organizaciones, aunque no se han dado detalles. Al menos una de ellas estaría en Hong Kong, China.

Para esta acción se usaron correos electrónicos conteniendo un documento de PowerPoint como adjunto. Microsoft confirmó estos ataques, aunque todo indicaría que su incidencia ha sido mínima hasta el momento.

El principal componente afectado parece ser MSO.DLL (MSO9.DLL en versiones anteriores de Office). El mismo componente ha sido víctima recientemente de otra vulnerabilidad que afecta a Microsoft Office (ver "Denegación de servicio en MS Office (LsCreateLine)", ). MSO.DLL (o MSO9.DLL), es una biblioteca compartida por varias aplicaciones de Office, como Excel, Access, Publisher, Outlook, Word y por supuesto PowerPoint.

El fallo se debe a la corrupción de la memoria utilizada por la aplicación a partir de una cadena malformada. Sin contar el exploit mencionado antes, las pruebas de concepto conocidas solo provocan que el programa finalice su ejecución de forma abrupta.

La vulnerabilidad fue revelada el mismo día que Microsoft publicó su ronda de actualizaciones de seguridad.

Aunque no existe información oficial de cuáles versiones de PowerPoint son afectadas, las pruebas indican que los exploits son capaces de ejecutarse en todos los Windows (95, 98, 98 SE, Me, NT, 2000, XP y Server 2003). También las versiones para Mac y PowerPoint Viewer (el visor de documentos PPT), parecen ser afectadas.

ESET NOD32 y otros productos antivirus, han publicado la detección genérica para el exploit que permite la ejecución de código, y al propio troyano que libera. Sin embargo, es importante recordar que al existir ya al menos tres pruebas de concepto diferentes del exploit mencionado antes, nada impide que surjan nuevos códigos maliciosos que se aprovechen de este problema, por lo que se aconseja no abrir documentos de ningún tipo que no hayan sido solicitados, o que hayan sido descargados de sitios web desconocidos, al menos hasta que Microsoft no publique una actualización para corregir esta vulnerabilidad.

El troyano detectado muestra caracteres chinos cuando el documento de PowerPoint es abierto, y luego se inyecta al proceso Explorer.exe de Windows para realizar otras tareas maliciosas.


* Más información:

VIRUS:  PP97M/EXPLOIT.PPDROP
http://www.enciclopediavirus.com/virus/vervirus.php?id=3266

* Apéndice

Vulnerabilidades Zero Day (Día cero)

Cuando está aplicado a la información, el "Zero Day" significa generalmente información no disponible públicamente. Esto se utiliza a menudo para describir exploits de vulnerabilidades a la seguridad que no son conocidas por los profesionales del tema.

El pasado son solo recuerdos, el futuro son solo sueños