3 de agosto de 2016

VULNERABILIDADES. Consiguen ocultar macro cambiando la extensión del documento

Un simple cambio de extensión permite ejecutar Macro en documentos que no deberían permitirlo.
A día de hoy, Office trabaja con 4 formatos estándar de OfficeOpen: DOCX y DOTX, que no son compatibles con las macro, y DOCM y DOTM que sí son compatibles con estos códigos. Word no se basa solo en la extensión para abrir los archivos, sino que, además, compara el MIME de los archivos para comprobar que coincide y no ha sido modificado. En caso de que algo no coincida, el archivo dará error de verificación al abrirse.
Los expertos de seguridad de Cisco han detectado que, mientras que si tenemos un archivo DOCX/DOTX y lo renombramos a DOCM/DOTM, al intentar abrirlo para introducir macros en él encontraremos un error al no coincidir el MIME del documento, sin embargo, si lo hacemos al revés (cambiamos la extensión de un documento *M con macros por *X), las macros seguirán inyectadas en el documento y, además, si lo intentamos ejecutar veremos cómo Word no solo no muestra ningún error, sino que además ejecuta automáticamente dichas macros.
La responsable de este problema es wwlib.dll, una librería que utiliza Office para validar los MIME que, aunque en el primer sentido sí detecta la anomalía, en el segundo (probablemente por temas de compatibilidad) no, lo que permite ejecutar un DOCX con macros ocultas cuando, en teoría, no debería tenerlas.
Igual que Cisco, varios piratas informáticos también han detectado este fallo, lo que ha dado lugar a múltiples campañas de distribución de malware, campañas que están creciendo cada mes y que se están ganando un gran número de víctimas por todo el mundo.
Microsoft ya ha solucionado el problema, por lo que si queremos protegernos de esto simplemente debemos actualizar nuestro Office para que, en caso de intentar abrir un documento con la extensión modificada, nos aparezca el correspondiente mensaje de advertencia o error igual que cuando el cambio de extensión se hace a la inversa.
Fuente: Talos