Vulnerabilidad en Microsoft Powerpoint confirma una nueva tendencia

SeguridadVirus

El pasado día 12 de julio se anunciaba una nueva vulnerabilidad en PowerPoint que podía ser aprovechada por atacantes para ejecutar código arbitrario.

Como viene siendo habitual, y en lo que se está convirtiendo en una nueva tendencia, aparecía justo después de la publicación de los parches oficiales de Microsoft, los segundos martes de cada mes.

En un principio, el fallo en PowerPoint se debía sólo a una corrupción de memoria en la librería mso.dll a la hora de manejar una presentación especialmente manipulada. Esto podría ser aprovechado para ejecutar código arbitrario si un usuario abre con Microsoft Powerpoint un archivo con formato PPT. El problema se detectó a partir de la observación de un archivo en este formato que fue enviado a ciertos usuarios, que contenía caracteres chinos y hacía referencia a una especie de carta de amor.

Microsoft ya ha reconocido el problema y ha publicado una notificación oficial. Las casas antivirus también lo reconocen ya, y se ha sabido que distintas versiones intentan instalar programas para el reconocimiento de teclas pulsadas (keyloggers) o puertas traseras.

En los últimos días se han hecho públicas hasta tres pruebas de concepto distintas que aprovechan las que pueden ser consideradas tres vulnerabilidades diferentes en PowerPoint. No se sabe exactamente a qué versiones afectan. Estas pruebas de concepto, según han sido publicadas, provocan que la aplicación deje de responder, pero es probable que allanen el camino para que, con algunas modificaciones, aparezcan nuevos exploits capaces de ejecutar código.

Una vez más (y ya van tres) se hace pública una vulnerabilidad Office justo después de la publicación mensual de parches de Microsoft, lo que maximiza el tiempo de aprovechamiento del fallo y por tanto, la posibilidad de infectar los sistemas. Los usuarios que no tomen las precauciones adecuadas (actualización de antivirus, limitación de privilegios y sentido común), estarán desprotegidos y se convertirán en sencillas víctimas hasta, por lo menos, el próximo ocho de agosto en el que aparezcan nuevos boletines de seguridad con sus respectivos parches. A menos que Microsoft no publique excepcionalmente una actualización fuera de su ciclo habitual, pero esto sólo ha ocurrido en contadas ocasiones en las que el problema de seguridad se había convertido en una verdadera epidemia, situación que no se ha dado todavía en este caso.

Tras los últimos acontecimientos relacionados con Office podemos observar un claro cambio de tendencia en la forma en la que aparecen estos problemas, unida a una obsesiva y oportunista fijación contra este software de Microsoft. La adopción cada vez mayor por parte de usuarios de técnicas de protección como cortafuegos y antivirus, unido a una mayor concienciación a la hora de no dejarse engañar por ficheros directamente ejecutables, ha provocado que hayan descendido los intentos de aprovechamiento de vulnerabilidades en el propio sistema operativo. Hoy resulta mucho más sencillo intentar engañar a potenciales víctimas a través de la apertura de documentos Office, formato con el que los usuarios se sienten mucho más cómodos y no tienen miedo a abrir en sus sistemas.

Esta vulnerabilidad se ha convertido en el cuarto “0 day” que sufre Microsoft Office en algunas semanas. El 19 de mayo se advertía sobre la aparición de un documento Word que cuando era abierto por un usuario, ejecutaba código arbitrario en el sistema de forma completamente oculta. Microsoft publicó un parche que solucionaba el problema. El 15 de junio aparecía otro “0 day” en Excel, que permitía la ejecución de código arbitrario y que también fue solucionado. El día 19 de junio, aparece por sorpresa una nueva amenaza para usuarios de Microsoft Office de la que todavía no existe parche oficial. Todos han sido descubiertos pocos días después de la publicación mensual de parches y boletines.

Esta tendencia recuerda a una especie de evolución de los tiempos en que los virus se multiplicaban mayoritariamente a través de documentos Office, con la salvedad de que entonces incluían “macros” ejecutadas en un sistema absolutamente desprotegido y hoy es a través de vulnerabilidades y técnicas más “sofisticadas”. Poco a poco y tras la inclusión de medidas de seguridad contra la ejecución indiscriminada de “macros”, se volvió a confiar en este popular formato. De hecho hacía varios años que, salvo contadas excepciones, no eran portadores de carga vírica ni ejercían de troyanos. Hoy, archivos PPT, XLS y DOC vuelven a ser protagonistas de la escena vírica.