Microsoft admite no poder frenar los ataques a Office
Microsoft tienen previsto desarrollar una zona segura o “sandbox” para documentos Office en la nueva versión de su suite de aplicaciones, lo que se traduce como un modo de admitir por parte de la compañía que no puede mantener a los hackers alejados de los agujeros de seguridad de algunos sus formatos de archivos.
“Lo que está ocurriendo es que Office presenta muchas vulnerabilidades”, ha declarado John Pescatore, analista de seguridad en Gartner. “En los últimos 18 meses, los hackers han estado “fuzzing” los formatos de archivos Office”. Con “fuzzing”, este experto se refiere a una táctica que se apoya en herramientas automáticas que introducen datos aleatorios en aplicaciones para ver si tienen lugar los problemas y, si es así, cuándo ocurren.
Fuzzing ha sido uno de los mejores amigos de los hackers, pues Microsoft ha tenido que resolver periódicamente vulnerabilidades en los formatos de los archivos para aplicaciones Office. De hecho, recientemente, este mismo mes de julio, tuvo que resolver un problema en Publisher 2007 y en junio solucionó siete vulnerabilidades en Excel y dos más en Word.
“Lo que está ocurriendo es que los chicos malos están utilizando herramientas de fuzzing para encontrar vulnerabilidades en Office y ahora Microsoft está diciendo, “de acuerdo, no podemos encontrar y mucho menos, resolver, cada vulnerabilidad, así que hemos encontrado un modo de intentar atajarlo, poner una zona de seguridad o sandbox alrededor de la vulnerabilidad”.
Esta técnica de “sandbox” que menciona Pescatore es una de las novedades de Office 2010, la próxima versión del paquete de aplicaciones para Windows de Microsoft.
Según Brad Albrecht, responsable del programa de seguridad de Office, Office 2010 contará con algo denominado "Protected View", que aísla archivos Word, Excel y PowerPoint en un entorno de sólo lectura. La “sandbox”, según ha publicado Albrecht en un post, permitirá “tener acceso mínimo al sistema y no tendremos acceso a otros archivos e información. Incluso si el archivo es malicioso, no podrá salir de la “sandbox” y dañar el equipo o los datos contenidos en él”. “Es una buena solución. El aislamiento es siempre algo bueno en seguridad, aunque sólo sea para limitar el daño que puede producir un archivo malicioso”, explica Pescatore.
Albrecht también ha dado a conocer otras medidas de seguridad que implementará Office 2010, entre las que se incluyen un bloqueador de archivos más flexible y el lanzamiento de “Office File Validation”, una práctica que fue ya introducida en Publisher 2007 Service Pack 2 (SP2).
Este bloqueador de archivos, que se introdujo por primera vez en Office 2007 en septiembre de 2007 con la SP3, automáticamente prohíbe el acceso de ciertos tipos de documentos. Albrecht también ha declarado que Office 2010 permitirá a los usuarios ajustar esta capacidad para gestionar mejor qué formatos de Word, Excel y PowerPoint puede abrir.
“El bloqueo de archivos dio algunos problemas en Office 2007, pues daba a los usuarios mensajes de error un poco crípticos”, por eso, alaba la decisión de darle más flexibilidad ahora.
Por su parte, Office File Validation es un sistema que valida antiguos sistemas anteriores a XML para Word, Excel y PowerPoint, luego, bloquea aquellos que no cumplen con los requisitos del formato documentado. Los documentos que contengan código malicioso podrían provocar este bloqueo. En ese punto, Office 2010 mandaría el archivo a la “sandbox” Protected View.
Albrecht ha declarado que las nuevas características de seguridad de Office 2010 tendrán “un impacto increíble en el rendimiento y en el tiempo de carga de los documentos”, pero no quiso dar más detalles al respecto o sobre los requerimientos del sistema o el impacto en los recursos de memoria o del procesador.
