Una prueba de concepto publicada por milw0rm.com el pasado domingo (30/03/08), puede ser utilizada para la ejecución de código mediante la explotación de un fallo de seguridad en Microsoft Office XP SP3. El código de ataque, se basa en un problema de desbordamiento de búfer que se produce en este caso, al leer archivos de PowerPoint.

Por supuesto, la recomendación más importante en estos casos, es la de no aceptar archivos no solicitados, sin importar su procedencia, ni tampoco descargarlos de sitios desconocidos.

El exploit de prueba permite ejecutar la calculadora de Windows, pero no es difícil de modificar para que cualquier otro código pueda ser lanzado en el equipo de la víctima cuando la misma intente visualizar dicho archivo.

Es muy común recibir archivos PPT de conocidos, los cuáles pueden ser un riesgo muy grande para los usuarios. Por ejemplo, recientemente se han visto archivos en ese formato, relacionados con temas actuales, tales como el aniversario del bloqueo a Cuba, o la acción del gobierno colombiano contra las FARC en territorio ecuatoriano.

La principal acción a tomar cuando un conocido o desconocido nos envía algo así, es borrar todo el mensaje, sin hacer clic en el adjunto.

El exploit ahora reportado, se aprovecha de uno de los dos fallos solucionados por Microsoft en la actualización identificada con el boletín de seguridad MS08-016, publicado el pasado 11 de marzo como parte de cuatro actualizaciones críticas para Office.

El boletín MS08-016 habla de un problema de corrupción de memoria en archivos de Excel, pero menciona una extraña mezcla de productos, la mayoría versiones antiguas y paquetes de servicio de Office y Office 2004 para Mac. Sin embargo, como dijimos, el exploit tiene forma de archivo PPT.

Microsoft dijo a principios de este mes, que la vulnerabilidad es considerada "crítica" para los usuarios de Office 2000 e "importante" para Office XP y Office 2003 en equipos con Windows y Office 2004 para Mac. Sin embargo, la empresa reconoció que si un ataque contra cualquiera de las cuatro versiones tiene éxito, el atacante podría tomar el control total de la computadora afectada.

Los vectores de ataque más probables, son la descarga desde un sitio malintencionado de un archivo especialmente manipulado, o el envío de adjuntos en mensajes de correo electrónico.

Se recomienda instalar los parches mencionados, y por supuesto, no aceptar ninguna clase de archivo no solicitado recibido en nuestro correo.

Fuente