Esta semana se han encontrado dos vulnerabilidades de tipo 0 day en Microsoft Word. Esto vuelve a posicionar a Office como el vector de ataque preferido para la infección de sistemas a través del aprovechamiento de vulnerabilidades hechas públicas cuando ya están siendo explotadas. También se ha publicado una prueba de concepto que permite ejecución de código a través de ficheros ASX de Windows Media Player.

El 6 de diciembre Microsoft publicaba un aviso oficial sobre un ataque detectado que se valía de una vulnerabilidad en Word. El problema afectaría a Microsoft Word 2000, 2002, 2003, Word Viewer 2003, Word 2004 para Mac y Word 2004 v. X para Mac. También a Microsoft Works 2004, 2005 y 2006.

La vulnerabilidad está provocada por un error no especificado en el tratamiento de documentos Word y puede ser aprovechada para causar una corrupción de memoria, que puede conllevar una ejecución de código arbitrario. Microsoft hablaba del descubrimiento de ataques limitados que podrían afectar de una forma muy concreta a pocas empresas u organizaciones contra las que iría dirigido específicamente. Aunque esto por ahora limite el alcance del problema, no es motivo para restar gravedad al fallo. Los detalles pueden ser cedidos, investigados o publicados en cualquier momento y afectar a un gran número de personas.

Nuevamente, el día 10 Microsoft alertaba de un nuevo problema en Word (al parecer descubierto por McAfee a través de una muestra infectada), sobre el que no daba detalles, pero que especificaba era distinto al encontrado unos días antes. En esta ocasión afectaba a Microsoft Word 2000, 2002, 2003 y Word Viewer 2003. Word 2007 no se ve afectado. Microsoft hablaba de ataques aún más limitados. El fallo también permitiría la ejecución de código.

Entre estas dos alertas, el día siete, se encuentra una nueva vulnerabilidad en Windows Media Player que puede ser aprovechada por atacantes para provocar una denegación de servicio. El fallo en Windows Media Player se debe a un error de límites a la hora de manejar etiquetas "REF HREF" en listas de reproducción ASX. Esto puede ser aprovechado para provocar un desbordamiento de memoria intermedia basado en heap en el fichero WMVCORE.DLL a través de una cadena larga con una URL inválida. Es muy posible que el problema permita la ejecución de código arbitrario. Los ficheros ASX se abren automáticamente si son vistos a través del navegador, lo que puede facilitar el ataque aunque no se utilice el programa.

Para mitigar los problemas con Word, se recomienda como siempre no abrir archivos adjuntos en formato DOC no solicitados. Observando la cantidad de vulnerabilidades que están siendo aprovechadas de forma continua en este producto en concreto, también es recomendable utilizar cuando sea posible alternativas como OpenOffice. En el caso de la vulnerabilidad en Windows Media Player, se recomienda además desasociar la extensión ASX con el programa. En cualquier caso, también, disminuir los privilegios con los que se trabaja sobre el sistema para limitar el impacto de un posible ataque.


Más información:

Vulnerability in Microsoft Word Could Allow Remote Code Execution
Microsoft Security Advisory (929433): Vulnerability in Microsoft Word Could Allow Remote Code Execution

Public Proof of Concept Code for ASX File Format Isssue
Welcome to the Microsoft Security Response Center Blog! : Public Proof of Concept Code for ASX File Format Isssue

New Report of A Word Zero Day
Welcome to the Microsoft Security Response Center Blog! : New Report of A Word Zero Day