martes, agosto 20, 2013

Metadatos en (los otros) ficheros de Microsoft Excel

Los metadatos son un problema de fuga de información que afecta a muchas empresas, de hecho, haciendo una pequeña prueba con las empresas líderes en protección contra fuga de información según el cuadrante mágico de Gartner, pudimos ver que a ellas también les afectaba de manera especialmente sensible en algunos casos.

Figura 1: Fugas de información en empresas líderes en DLP según Gartner

Por eso decidimos continuar evolucionando nuestras herramientas de protección y dentro de las mejoras continuas que estamos introduciendo a la familia de productos de MetaShield Protector para controlar los metadatos decidimos ir a las fugas por los ficheros ofimáticos menos comunes. Hace unas semanas os hablaba de los metadatos perdidos en los archivos perdidos de Microsoft Office y hoy quiero hablaros de Los Otros.

Figura 2: Ficheros XLSB de Microsoft Excel

Los Otros no son nada más que el resto de formatos de ficheros nativos que soporta una aplicación ofimática, y para ejemplarizarlo he elegido Microsoft Excel, que cuenta con la siguiente lista de formatos nativos:
.xl - Hoja de cálculo de Excel
.xla – Complemento de Excel
.xlb – Barra de herramientas de Excel
.xlc - Grafico de Excel
.xld – Base de datos de Excel
.xlk - Copia de seguridad de Excel
.xll - Complemento de Excel
.xlm – Macro de Excel
.xls – Hoja de cálculo de Excel
.xlsb – Hoja de cálculo binario de Excel
.xlshtml – Hoja de cálculo de Excel para Internet formato HTML
.xlsm – Hoja de cálculo de Excel con Macros habilitadas
.xlt – Plantillas de Excel
.xlv – Modulo de Visual Basic de Excel
.xlw – Espacio de trabajo de Excel
.xlw – Libro de Excel
Cuando se hace un hacking con buscadores persiguiendo todos los archivos ofimáticos, estos deben ser buscados también cuando se hace uso del comando ext:, ya que si no nos quedaríamos sin muchas fugas de información que podrían dar información jugosa.

Figura 3: Metadatos en un fichero .XLL analizado con FOCA Online como XLS 

Yo me he parado a ver cómo son todos esos ficheros y he sacado alguna cosa curiosa sobre cada uno de estos tipos que os resumo en esta lista.
- XLA: No tiene metadatos, es código y se puede ver información sólo en los comentarios de los programas VBA y en los nombres de las variables.
- XLB: Sin metadatos, es un archivo de código binario.
- XLC: Codificación binaria. Mismos metadatos que un XLS. 
- XLD: Formato XML sin metadatos.
- XLK: Formato binario. Mismos metadatos que un XLS.
- XLL: Formato binario. Mismos metadatos que un XLS.
- XLM: Codificación OOXML. Mismos metadatos que un XLSX.
- XLS: El formato nativo.
- XLSB: Formato binario. Mismos metadatos que XLS.
- XLSHTML: Codificación HTML.
- XLSM: Codificación OOXML. Mismos metadatos que XMLX.
- XLT: Codificación binaria. Mismos metadatos que XLS.
- XLV: Codificación binaria. Mismos metadatos que XLS.
- XLW: Codificación binario. Mismos metadatos que XLS.
Como se puede ver, casi todos los formatos ofrecen metadatos que pueden ser extraídos con las herramientas como FOCA Online, o MetaShield Forensics, solo hay que buscarlos de ellos cuando se esté realizando la fase de footprinting y fingerprinting de un pentesting y preocuparse de ellos cuando se esté realizando un proceso de Data Loss Prevention. En la familia MetaShield Protector hemos creado una versión para IIS, otra para SharePoint, otra para File Servers y otra para usar en los clientes Windows. Cuando tenga un poco más de tiempo os paso un resumen similar de "Los Otros" de Microsoft Word y Power Point.

Saludos Malignos!

2 comentarios:

  1. Lo que no tengo muy claro es para que necesita Excel o Word (o cualquier otra aplicación) tal cantidad de metadatos porque a la hora de la verdad esos metadatos no suelen explotarse desde el propio Excel o Word.

    Me parece bien que se guarde un "control de versiones" con la fecha de modificación y el usuario pero Word no nos permite ver esa información ni pasar de una versión a otra entonces... ¿para que se guarda?

    Es como si al Notepad le diera por guardar un control de versiones o que guardase las aplicaciones abiertas cuando guardamos un TXT... no tendría sentido y pensaríamos que es un programa malicioso si lo hiciera.

    ResponderEliminar
  2. Te acabo de ver en la Sexta, Chema Alonso.

    ResponderEliminar