Hola, me llamo Vikas y trabajo en el equipo de seguridad de Informática de confianza de Office. Hoy les contaré más sobre una característica en la que he trabajado llamada Vista protegida. Esta es una de las nuevas características de defensa en profundidad de la seguridad que se han agregado a Office 2010. Si aún no ha leído la entrada de Brad sobre este tema y las otras nuevas mejoras de seguridad, sin duda merece la pena dedicar unos minutos para leerla.

¿Por qué debería ser peligroso abrir los documentos de Office?

En cualquier fragmento de software complejo, puede que con el tiempo se encuentren nuevas vulnerabilidades de seguridad en el análisis del archivo. Los anteriores formatos de archivo binario de Office han sido susceptibles a este tipo de ataques. Durante los últimos años, los piratas informáticos han descubierto varias maneras de manipular los archivos binarios de Office, de forma que al abrirlos y analizarlos, hacen que su propio código se incruste en el archivo que se ejecuta. Para solucionar estos ataques al análisis de archivos binarios en Office 2007, se han introducido varios formatos de archivo nuevos basados en XML. Estos formatos de archivo XML son más fáciles de analizar y ofrecen una seguridad considerable frente a los formatos binarios anteriores. Somos conscientes de que actualmente aún se están usando varios miles de millones de archivos binarios y la migración a estos nuevos formatos XML llevará tiempo, pero siempre que sea posible, cuanto antes se migre a estos formatos, antes se empezarán a aprovechar las ventajas de seguridad que ofrecen.

Para solucionar estos ataques que se producían antes, el equipo de Office lanzó MOICE (Entorno aislado de conversión de Microsoft Office). MOICE tomaba un tipo de archivo binario potencialmente peligroso y, siguiendo un proceso de espacio aislado, lo convertía al nuevo formato XML, después lo volvía a convertir al formato binario y después lo abría. Esta conversión tenía por finalidad eliminar cualquier código de vulnerabilidad de seguridad oculto dentro del archivo. Uno de los inconvenientes de MOICE era que, en el caso de aquellos archivos que necesitaran mucho tiempo para convertirse, parecería que tardarían mucho en abrirse y los usuarios se desesperarían. Además, el proceso de conversión nunca conservaba al 100% el diseño de los documentos, por lo que no hay duda de que no se trataba de una mejora en cuanto a la experiencia general del usuario de la característica.

¿Qué hemos cambiado en Office 2010 para subir el listón?

Ahora en Office 2010, cuando parece que un archivo procede de una ubicación potencialmente peligrosa, como Internet, se abre en Vista protegida. El aspecto de Vista protegida será como cualquier otra vista de solo lectura. Sin embargo, lo que no se ve es que cuando un archivo se abre en Vista protegida, se está abriendo en el nuevo espacio aislado de Office 2010. El espacio aislado de Office 2010 es la "siguiente versión" del espacio aislado de MOICE descrito anteriormente. A diferencia de MOICE, no se produce ninguna conversión de archivo. De hecho, lo que ocurre es que el archivo se está abriendo en una instancia de espacio aislado de la aplicación (ya sea Word, Excel o PowerPoint) y, en el caso de que dicho archivo incluyera código malintencionado, dicho código no podría encontrar el modo de alterar los documentos, cambiar el perfil o cualquier otra configuración de usuario. Describiré esto con más detalle en otra entrada más adelante.

¿Cuándo se usa la Vista protegida?

Dado que la Vista protegida es una vista de solo lectura, somos conscientes de que no es algo que se usará para cada archivo con el que interactúe el usuario. Nuestro objetivo al diseñar esta característica era simplemente usarla en escenarios de alto riesgo:

· Archivos abiertos desde Internet. Cuando se descarga un archivo de Internet, el Servicio de ejecución de datos adjuntos de Windows coloca un marcador en la secuencia de datos alternativa del archivo para indicar que procede de la zona de Internet. Cuando se abra un archivo de Word, Excel o PowerPoint que contenga este marcador, se abrirá en Vista protegida hasta que el usuario decida confiar en él y editarlo. Para hacerlo, hay que hacer clic en el botón "Habilitar edición" (Enable Editing) que se muestra a continuación:

Barra de mensajes de Vista protegida

En algunos casos, cuando se abre un archivo de un recurso compartido de red que el usuario cree que pertenece a la zona de intranet, éste se abrirá en Vista protegida y se indicará en la barra de confianza que procede de una ubicación de Internet. Esto puede producirse por el modo en que está configurado el proxy o porque en la opción Intranet local de Opciones de Internet, no está activada la opción "Detectar redes intranet automáticamente" (Automatically detect intranet network), como se muestra a continuación:

Cuadro de diálogo de configuración de intranet

· Datos adjuntos abiertos desde Outlook 2010. Cuando se abran datos adjuntos desde Outlook 2010, se abrirán en Vista protegida. Los administradores podrán configurar si desean que se abran en Vista protegida todos los datos adjuntos o solo aquellos enviados por remitentes ajenos a su entorno de Exchange.

· Archivos abiertos desde ubicaciones no seguras. Un ejemplo de ubicación no segura son los archivos que se abren desde la carpeta Archivos temporales de Internet. Los administradores pueden ampliar esta lista para incluir cualquier directorio que también consideren no seguro.

· Archivos bloqueados por la directiva de bloqueo de archivos. En Office 2007, se introdujo una característica denominada Bloqueo de archivos, que permitía a los administradores definir los tipos de archivo que no debían abrirse. Cuando se bloqueaba un tipo de archivo, éste simplemente no se podía abrir. Por los comentarios de nuestros usuarios, sabemos que esto creaba demasiadas limitaciones desde el punto de vista de facilidad de uso, ya que los usuarios seguían queriendo "leer" esos archivos. En Office 2010, estos archivos bloqueados se pueden abrir en Vista protegida y los administradores pueden configurar la directiva para que indique si el usuario tendrá permiso para salir de Vista protegida (mediante la edición del archivo) o estará obligado a permanecer en ella. Esperamos que este diseño consiga que desaparezcan todos los problemas y molestias de nuestros usuarios.

· Errores de Validación de documento de Office. Validación de documento de Office es una nueva característica que examina un archivo de Office cuando se está abriendo y lo valida en un esquema conocido. Cuando haya incoherencias entre el archivo y el esquema, el archivo no superará la validación y se abrirá en Vista protegida. Esta directiva, similar a Bloqueo de archivos, estará disponible para determinar si el usuario debe tener permiso para editar el archivo o no cuando se produzca un error.

· Cuadro de diálogo Abrir del menú Archivo. Se pueden abrir archivos expresamente en Vista protegida usando el botón Abrir (Open):

Delimitador desplegable del cuadro de diálogo Abrir del menú Archivo para abrir en Vista protegida

¿Cómo puede Vista protegida ofrecer una mejor experiencia de usuario?

La mayor ventaja es que permite quitar las advertencias de seguridad de tipo "¿Está seguro de que...?", a la vez que ofrece una mayor protección que la que había hasta ahora. Por ejemplo, si es usuario de Outlook como yo, habrá observado que cada vez que abre datos adjuntos, se le pregunta lo siguiente:

Cuadro de diálogo para abrir datos adjuntos de un origen de confianza

Para mí, es muy difícil contestar a esta pregunta sin ver antes el contenido del archivo. En Office 2010, hemos quitado este cuadro de diálogo y, en su lugar, el archivo se abre directamente en Vista protegida. Esto permite ver el contenido y tomar una decisión bien fundada sobre si realmente el archivo es de confianza o no. Si no se confía en él, o si simplemente quiere leerse, puede terminar de hacerlo y cerrarlo. El motivo por el que nos sentimos seguros al abrir el archivo directamente son las numerosas comprobaciones en profundidad que hemos implantado.

Además del cuadro de diálogo para abrir el archivo, también hemos quitado la advertencia del panel de vista previa de Outlook que se muestra aquí:

Advertencia de correo electrónico para abrir desde orígenes de confianza

Ahora, al leer archivos de Word, Excel, PowerPoint y Visio en el panel de vista previa de Outlook y estar activada la opción Vista protegida, ya no se le preguntará primero si realmente confía en el archivo.

¿Qué aspecto tiene el diseño de Vista protegida?

Vista protegida ha cambiado el modo en que se estructuran Word, Excel y PowerPoint. Cuando se abre un archivo en Vista protegida, se están ejecutando dos instancias de la aplicación. Usaré Word como ejemplo: tenemos una instancia de winword.exe que se ejecuta en el contexto de la cuenta en la que el usuario ha iniciado sesión (denominado proceso "host") y tenemos otra instancia de winword.exe que se ejecuta en un proceso muy aislado (denominado proceso “cliente”). Al proceso aislado también se le denomina "espacio aislado" de Office y encontrará que ambos términos se usan indistintamente.

La mejor manera de describirlo es con una imagen. El proceso cliente forma parte de la UI, resaltada en negro, y todo lo demás forma parte del proceso host, como se muestra a continuación:

Diagrama con el proceso host dentro del contenedor visual de la aplicación

Cuando el usuario hace clic en cualquier parte de la UI del proceso host, gracias a UIPI tenemos una gran garantía de que la acción procede del usuario, por lo que no es necesario confirmarlo con otros cuadros de diálogo de tipo "¿Está seguro de que ha realizado esta acción?". El proceso host posee la ventana de marco de aplicación de nivel superior, como hemos visto antes, que incluye el título de ventana, la cinta, la barra de confianza, la barra de estado, etc. El proceso host administra las ventanas de Vista protegida y vista no protegida, y actúa como intermediario para el proceso cliente. Solo se ejecuta una instancia de espacio aislado/cliente en un momento dado, y todos los archivos que se abren en Vista protegida comparten la misma instancia de espacio aislado dentro de una aplicación. Cuando se cierran todas las ventanas de Vista protegida, el proceso cliente se termina. Cuando el proceso cliente necesita realizar una tarea con privilegios (como obtener acceso al sistema de archivos, al Registro o a otros recursos del sistema), realiza una petición al proceso host y éste actuará de intermediario y realiza la acción si lo considera oportuno.

Como comentaba antes, el proceso cliente es otro proceso de Windows que se ejecuta en el contexto de la cuenta de usuario, aunque el token que se usa sea un token restringido. Al usar un token restringido, hemos podido quitar varios derechos y privilegios de este proceso. Para asegurar aún más el proceso cliente, también lo estamos ejecutando como un proceso de baja integridad. El token restringido y la baja integridad (UIPI) proporcionan las bases del espacio aislado de Office 2010.

Como ya se ha dicho, Vista protegida es una de las muchas defensas de seguridad de Office 2010. Para que un malware realmente pueda ejecutarse en Vista protegida, primero necesita encontrar el modo de sortear DEP, ASLR, GS y las nuevas comprobaciones de Validación de documento de Office 2010. Después, tendría que encontrar el modo de romper el espacio aislado.

Esperemos que a partir de ahora, cuando crea que ha recibido un archivo de Word, Excel o PowerPoint ‘peligroso’, pueda abrirlo en Vista protegida y leerlo sin preocuparse de que le ocurra algo malo al equipo.

Les agradezco que hayan leído todo el artículo y no olviden leer más entradas sobre seguridad que se publicarán muy pronto.

Gracias.
Vikas Malhotra
Administrador de programas de seguridad
Informática de confianza de Office

Posted: Thursday, August 13, 2009 8:27 PM by OffTeam

Esta entrada de blog es una traducción. Puede consultar el artículo original en http://blogs.technet.com/office2010/archive/2009/08/13/protected-view-in-office-2010.aspx.