domingo, 5 de mayo de 2019

El ‘malvado Clippy’ de Office es indetectable para tu antivirus


Aunque abandonado desde Office 2003 –en WindowsClippy se ha convertido en un ‘icono’ de Microsoft Office al que prácticamente cualquier usuario recordará. Era una animación interactiva de un clip que hacía las veces de asistente en el software de ofimática de la compañía de Redmond. Pero ahora existe Evil Clippy. que se trata de una ‘versión maléfica’ desarrollada para burlar la seguridad de sistemas Windows, macOS y Linux, haciéndose indetectable para el antivirus que el usuario tenga instalado en su ordenador.

Evil Clippy, o ‘malvado Clippy’, ha sido creado por un grupo de investigadores de seguridad para poner de manifiesto las vulnerabilidades que pueden producirse por Microsoft Office. Este ‘rediseño’ del asistente de Microsoft Office se ha mostrado durante el BlackHat Asia, con el correspondiente análisis técnico en el que se muestra cómo es capaz de burlar cualquier sistema antivirus instalado en un ordenador Windows, macOS o Linux a través de VBA, Virtual Basic para aplicaciones  de Office. El código fuente de esta herramienta está disponible en GitHub, luego se puede revisar de forma pública sin problema alguno.

Una versión del asistente Clippy, de Office, diseñada únicamente para saltarse la seguridad del antivirus de un ordenador


Como han explicado los expertos en seguridad informática, Evil Clippy utiliza la biblioteca OpenMCDF para la manipulación del formato compuesto de archivo binario –CFBF- y abusar de las especificaciones de MS-OVBA. Se reutiliza el código de Kavod.VBA.Compression para la implementación del algoritmo de compresión utilizado en secuencias dir de MS-OVBA. El problema, para los usuarios, es que esta compleja técnica es capaz de burlar el sistema de detección automática de los antivirus, y por tanto permite atacar un ordenador de forma relativamente sencilla. No obstante, se trata de una herramienta creada por expertos en seguridad informática, únicamente para explotar vulnerabilidades de Microsoft Office y resolverlas antes que puedan ser aprovechadas por atacantes.

Históricamente, la compañía de Redmond ha tenido serios problemas con las macros de Microsoft Office. Esto, aunque de una forma que no se había llevado a cabo anteriormente, vuelve a ir en la misma línea de la falta de seguridad de las tareas automatizadas de la suite de ofimática. Evil Clippy, como han explicado los expertos en seguridad informática, únicamente resuelve los problemas que existen por la brecha entre las especificaciones oficiales de Microsoft, las macros VBA y su implementación en Microsoft Office.

Los usuarios disponen de alternativas a Word, que es el procesador de textos, así como de alternativas a Microsoft Office al completo.