Artículo original publicado el lunes 2 de mayo de 2011

Hemos efectuado algunos cambios en el modo de desarrollar y probar nuestro software de productividad, lo que convirtió a Office 2010 en la versión más segura de Microsoft Office hasta el momento. Además de diseñar Office teniendo en cuenta las posibles amenazas, revisar el código de programación en busca de brechas de seguridad y realizar pruebas de penetración, Microsoft usa las pruebas de exploración de vulnerabilidades mediante datos aleatorios, que es un proceso para crear software más seguro. Algunas de las demás mejoras de seguridad se abordarán en una entrada de blog futura.

Recientemente se ha debatido ampliamente el tema de las pruebas de exploración de vulnerabilidades mediante datos aleatorios entre los profesionales de seguridad. Este debate se ha visto en un blog reciente del Computer Emergency Response Team (CERT) sobre una comparación entre la seguridad de Microsoft Office y de Oracle OpenOffice y un artículo escrito por Dan Kaminsky sobre la evaluación de las pruebas de exploración de vulnerabilidades mediante datos aleatorios para obtener métricas de seguridad sólidas a fin de alcanzar una alta calidad del software.

Hoy nos gustaría destacar el enfoque que usamos en el equipo de Office para las pruebas de exploración de vulnerabilidades mediante datos aleatorios de archivos.

 Para obtener más información acerca de la seguridad de Office 2010, vea las notas del producto sobre la protección de los datos de la empresa con Microsoft Office 2010 en el Centro de descarga de Microsoft y en el Centro de recursos de seguridad de Office 2010 en TechNet. 

 Información adicional acerca de las pruebas de exploración de vulnerabilidades mediante datos aleatorios de archivos

Las pruebas de exploración de vulnerabilidades mediante datos aleatorios de archivos son el proceso de modificación de formatos de archivo mediante el suministro de datos aleatorios o "pruebas" en una aplicación y después la supervisión del modo en que la aplicación responde a los datos. Este procedimiento de pruebas lo llevan a cabo tanto las compañías que crean software como los atacantes que desarrollan malware. Las organizaciones que crean software usan esta técnica para buscar errores o problemas en sus aplicaciones de software y para garantizar que la aplicación sea lo más segura y estable posible antes de ponerla a disposición del público. Por otro lado, los atacantes que desarrollan malware usan los ataques de formato de archivo o las pruebas de exploración de vulnerabilidades mediante datos aleatorios de archivos para intentar encontrar vulnerabilidades de seguridad en la aplicación y después aprovecharse de ellas. Una vez que se encuentra una vulnerabilidad, el atacante puede crear un ataque de formato de archivo dirigido para intentar aprovecharse de esta vulnerabilidad de seguridad en la aplicación de software.

Los ataques de formato de archivo aprovechan la integridad de un archivo y se producen cuando alguien modifica su estructura con la intención de agregar código malintencionado. El código malintencionado proporcionado por el atacante se ejecuta cuando se abre el archivo al que se le han realizado las pruebas. Como resultado, un atacante puede obtener acceso a un equipo al que no tenía acceso anteriormente. Este acceso no autorizado puede permitirle leer información confidencial de la unidad de disco duro del equipo o instalar malware, como un gusano o un programa de registro de claves.

Pruebas de exploración de vulnerabilidades mediante datos aleatorios y prevención

El equipo de Office usó las pruebas distribuidas y automatizadas de exploración de vulnerabilidades mediante datos aleatorios de archivos para identificar errores y posibles vulnerabilidades de aplicaciones durante el desarrollo de Office 2010. Además, seguimos realizando pruebas durante el ciclo de vida del soporte técnico. Como parte de estas pruebas, se realizaron pruebas de exploración de vulnerabilidades mediante datos aleatorios en millones de archivos de Office, que representan el espectro total de más de 300 formatos de archivo diferentes en todo el conjunto de aplicaciones de Office, decenas de millones de veces por semana y de diferentes maneras para identificar nuevas vulnerabilidades en todos los formatos de archivo que se abren con Microsoft Office.

En Microsoft Office 2010 pueden usarse otras mitigaciones que sirven de ayuda frente a los ataques de pruebas de exploración de vulnerabilidades mediante datos aleatorios de archivos, como la Vista protegida, la configuración de bloqueo de archivos, la Prevención de ejecución de datos (DEP), la selección aleatoria del diseño del espacio de direcciones (ASLR) y la validación de documentos.

Recientemente también incorporamos esta tecnología de validación de documentos en una actualización de Office 2003 y de Office 2007. Esto ayuda a los usuarios que todavía no usan Office 2010 a protegerse frente a los ataques de pruebas de exploración de vulnerabilidades mediante datos aleatorios de archivos. Se recomienda encarecidamente que todos los clientes implementen estas actualizaciones. Para obtener más información, vea el artículo de TechNet sobre la validación de documentos de Office para Office 2003 y Office 2007.

 

Esta entrada de blog es una traducción. Puede consultar el artículo original en Fuzz Testing in Office