Uso de documentos Word y Excel para robo de información sensible

Uso de documentos Word y Excel para robo de información sensible

Por Antonio Ropero antonior@hispasec.com
Hispasec - www.hispasec.com
(17/10/2002)

Una funcionalidad incluida en Word y Excel puede ser empleada por un usuario malicioso para el robo de información sensible, especialmente en entornos donde se intercambian documentos de estas aplicaciones. Un usuario podrá enviar un documento a otro para su revisión de forma que cuando este se lo devuelva editado o revisado, incluya en el documento información sensible sin su conocimiento.

Word y Excel proporcionan un mecanismo a través del cual los datos de un documento se puedan insertar y actualizar en otro documento. Este mecanismo, conocido como códigos de campo en Word y actualizaciones externas en Excel, puede ser automatizado para reducir la cantidad de trabajo manual requerido por el usuario.

Existe una vulnerabilidad debida a la posibilidad de uso malicioso de estos mecanismos para robar información de un usuario sin su conocimiento. Determinados eventos, como grabar un documento, pueden accionar la actualización de un código de campo o actualización externa. Normalmente el usuario es conscientes de que ocurren estas actualizaciones, sin embargo puede emplearse un código de campo o actualización externa específicamente creado para provocar una actualización sin avisar al usuario.

Esto podrá permitir a un atacante la creación de un documento que cuando se abra pueda actualizarse a sí mismo para incluir los contenidos de un archivo del ordenador del usuario.

Esto puede emplearse en un entorno de intercambio de documentos, en el que se transfieren documentos para su edición o revisión. Esto es así, ya que el atacante deberá enviar un documento malicioso al usuario, este usuario deberá abrir el documento, momento en que sin su conocimiento se incluirá el contenido de algún archivo de su disco duro, tras lo cual el usuario deberá devolver el archivo al emisor original.

Microsoft publica las actualizaciones necesarias para evitar este problema, de forma que se evita la introducción automática de datos en archivos sin conocimiento del usuario.

Microsoft Word 2002:
http://office.microsoft.com/downloads/2002/wrd1005.aspx

Microsoft Word 2000:
http://office.microsoft.com/downloads/2000/wrd0902.aspx

Word 97/Word 98(J):
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q330080

Word X for Macintosh:
http://www.microsoft.com/mac/download/security.asp

Word 2001 for Macintosh:
http://www.microsoft.com/mac/download/security.asp

Word 98 for Macintosh:
http://www.microsoft.com/mac/download/security.asp

Excel 2002:
http://office.microsoft.com/downloads/2002/exc1003.aspx

Más información:

Flaw in Word Fields and Excel External Updates Could Lead to Information Disclosure
http://www.microsoft.com/technet/security/bulletin/MS02-059.asp