Evitar ataques de formato de archivo mediante la validación de documento de Office en Office 2016
Resumen: Explica cómo puede evitar ataques de formato de archivo mediante la validación de archivos en Office 2016.
Mediante la validación de archivos, Office 2016 ayuda a evitar ataques de formato de archivo mediante el examen de formatos de archivo binario de Office antes de que se abran en Excel 2016, PowerPoint 2016 o Word 2016. Puede cambiar la forma en que Office 2016 valida los archivos almacenados en formatos de archivo binario de Microsoft Office mediante la configuración de la configuración.
Planear cómo validar archivos en Office
La validación de archivos de Office ayuda a detectar y evitar un tipo de vulnerabilidad de seguridad conocida como ataque de formato de archivo o ataque de aproximada de archivos. Los ataques de formato de archivo aprovechan la integridad de un archivo y se producen cuando alguien modifica la estructura de un archivo con la intención de agregar código malintencionado. Normalmente, el código malintencionado se ejecuta de forma remota y se usa para elevar el privilegio de las cuentas restringidas en el equipo. Un atacante puede usar el código para obtener acceso al equipo. Obtener este acceso podría permitir que un atacante lea información confidencial desde la unidad de disco duro del equipo o instale malware, como un gusano o un programa de registro de claves. Para validar los archivos, Office compara la estructura de un archivo con un esquema de archivo predefinido, que es un conjunto de reglas que determinan el aspecto de un archivo legible. Si Office detecta que la estructura de un archivo no sigue todas las reglas que se describen en el esquema, el archivo no se valida.
Los ataques de formato de archivo se producen con más frecuencia en archivos que se almacenan en formatos de archivo binario de Office. Por este motivo, Office examina y valida los siguientes tipos de archivos:
Archivos de libro de Excel 97-2003. Estos archivos tienen una extensión .xls e incluyen todos los archivos del formato de archivo de intercambio binario 8 (BIFF8).
Archivos de plantilla de Excel 97-2003. Estos archivos tienen una extensión .xlt e incluyen todos los archivos BIFF8.
Archivos de Microsoft Excel 5.0/95. Estos archivos tienen una extensión .xls e incluyen todos los archivos BIFF5.
Archivos de PowerPoint 97-2003. Estos archivos tienen una extensión .ppt.
Archivos de presentación de PowerPoint 97-2003. Estos archivos tienen una extensión .pps.
Archivos de plantilla de PowerPoint 97-2003. Estos archivos tienen una extensión .pot.
Archivos de documento de Word 97-2003. Estos archivos tienen una extensión .doc.
Archivos de plantilla de Word 97-2003. Estos archivos tienen una extensión .dot.
Office 2016 proporciona varias opciones de configuración que le permiten cambiar el funcionamiento de Office para validar los archivos:
Habilite o deshabilite la validación de archivos de Office.
Especificar el comportamiento del documento cuando hay un error en la validación del archivo.
Impedir que Office 2016 envíe información de validación de archivos de Office a Microsoft.
De forma predeterminada, Office valida los archivos. Los archivos que no aprueban la validación se abren en vista protegida. Los usuarios pueden optar por habilitar la edición de estos archivos. Además, se pide a los usuarios que envíen información de validación de archivos de Office a Microsoft. Si los usuarios conceden permiso, solo se recopila y envía a Microsoft la información sobre los archivos que no aprueban la validación.
Se recomienda no cambiar la configuración predeterminada para la validación de archivos de Office. Sin embargo, es posible que algunas organizaciones tengan que configurar las opciones de validación de archivos de Office para satisfacer los requisitos de seguridad especiales. En concreto, los siguientes tipos de organizaciones tienen requisitos de seguridad que pueden requerir un cambio en la configuración predeterminada para la validación de archivos de Office:
Organizaciones que restringen el acceso a Internet. La validación de archivos de Office, que pide a los usuarios que envíen información de error de validación a Microsoft aproximadamente cada dos semanas, podría infringir las directivas de acceso a Internet de una organización. En este caso, puede optar por impedir que Office envíe la información a Microsoft. Para obtener más información, vea Desactivar informes de validación de archivos de Office en Office más adelante en este artículo.
Organizaciones que tienen entornos de seguridad altamente restrictivos. Puede configurar la validación de archivos de Office para que los archivos que no superan la validación no se puedan abrir o solo se puedan abrir en la vista protegida. Este enfoque es más restrictivo que la configuración predeterminada para la validación de archivos de Office y puede ser adecuado para las organizaciones que tienen un entorno de seguridad bloqueado. Para obtener más información sobre cómo cambiar el comportamiento del documento, vea Cambiar el comportamiento del documento cuando se produce un error en la validación en Office más adelante en este artículo.
Organizaciones que no desean enviar sus archivos a Microsoft. Si los usuarios lo permiten, la validación de archivos de Office envía una copia de todos los archivos que no superan la validación a Microsoft. Puede configurar la validación de archivos de Office para que no se pida a los usuarios que envíen información de validación a Microsoft.
Desactivar la validación de archivos de Office en Office 2016
Puede usar la opción Desactivar validación de archivos para deshabilitar la validación de archivos de Office. Esta configuración debe configurarse por aplicación para Excel 2016, PowerPoint 2016 y Word 2016. Esta opción impide que los archivos que se almacenan en formato de archivo binario de Office se examinen y se validen. Por ejemplo, si habilita la opción Desactivar validación de archivos para Excel 2016, la validación de archivos de Office no examina ni valida archivos de libro de Excel 97-2003, archivos de plantilla de Excel 97-2003 o archivos de Microsoft Excel 5.0/95. Si un usuario abre uno de esos tipos de archivo y el archivo contiene un ataque de formato de archivo, el ataque no se detectará ni evitará a menos que otro control de seguridad detecte e impida dicho ataque.
Se recomienda no desactivar la validación de archivos de Office. La validación de archivos de Office es una parte clave de la estrategia de defensa por capas en Office 2016 y debe habilitarse en todos los equipos de toda una organización. Si quiere evitar que la validación de archivos de Office valide los archivos, se recomienda configurar también ubicaciones de confianza. Los archivos que se abren desde ubicaciones de confianza omiten las comprobaciones de validación de archivos de Office. También puede confiar en documentos específicos para evitar que la validación de archivos de Office valide un archivo. Los archivos que se consideran documentos de confianza no se someten a comprobaciones de validación de archivos de Office.
Cambiar el comportamiento del documento cuando se produce un error en la validación en Office
Puede usar la configuración de directiva de grupo Establecer el comportamiento del documento en caso de error en la validación de documento para cambiar la forma en que los documentos se comportan en caso de error de validación. Al habilitar esta opción, puede seleccionar una de las siguientes dos opciones:
Bloquear archivos Los archivos que no superan la validación no se abren en la vista protegida y los usuarios no pueden abrir archivos para su edición.
Si selecciona la opción Abrir archivos en vista protegida, cuando un archivo no aprueba la validación, los usuarios verán el siguiente texto en la barra de mensajes:
PROTECTED VIEW Office ha detectado un problema con este archivo. Haga clic para obtener más detalles.
Si un usuario selecciona la barra de mensajes, aparece la vista Backstage de Microsoft Office, que proporciona una descripción más larga del problema y permite a los usuarios habilitar el archivo para su edición.
Abrir archivos en la vista protegida Los archivos se abren en la vista protegida para que los usuarios puedan ver el contenido del archivo, pero los usuarios no pueden abrir archivos para su edición. Esta opción representa el comportamiento predeterminado para la validación de archivos de Office.
Si selecciona la opción Bloquear archivos, los usuarios ven el siguiente texto en un cuadro de diálogo cuando un archivo no aprueba la validación:
Office ha detectado un problema con este archivo. Para ayudar a proteger el equipo, este archivo no se puede abrir.
Los usuarios pueden expandir el cuadro de diálogo y ver una explicación más detallada de por qué no se abre el archivo, o bien pueden cerrar el cuadro de diálogo seleccionando Aceptar.
Desactivar los informes de validación de archivos de Office en Office
Puede usar la configuración de directiva de grupo Desactivar el informe de errores para los archivos con errores de validación para suprimir el cuadro de diálogo que solicita a los usuarios que envíen información a Microsoft. Esta opción también impide que se envíe información de validación a Microsoft.
Cada vez que se produce un error en la validación de un archivo, Office 2016 recopila información sobre por qué se produjo un error en la validación del archivo. Aproximadamente dos semanas después de que un archivo no se valide, Office 2016 pide a los usuarios que envíen información de validación de archivos de Office a Microsoft. La información de validación incluye cosas como los tipos de archivo, los tamaños de archivo, el tiempo que tardaron en abrirse los archivos y el tiempo que tardaron en validarse. Se envía a Microsoft una copia de cualquier archivo que no haya realizado la validación. Los usuarios ven la lista de archivos cuando se les pide que envíen información de validación a Microsoft. Los usuarios pueden rechazar enviar a Microsoft información de validación, lo que significa que no se envía a Microsoft información sobre errores de validación ni tampoco los archivos. Si una organización restringe el acceso a Internet, tiene directivas de acceso a Internet restrictivas o no quiere que se envíen archivos a Microsoft, es posible que tenga que habilitar la opción Desactivar informes de errores para archivos que no superan la validación de archivos directiva de grupo.
Importante
En ocasiones, la validación de archivos de Office puede indicar que se produjo un error en la validación de un archivo cuando, de hecho, el archivo es válido. Los informes de validación ayudan a Microsoft a mejorar la validación de archivos de Office y a minimizar la aparición de resultados falsos positivos.
Artículos relacionados
Bloquear tipos de formato de archivo específicos en Office 2016
Evitar ataques de formato de archivo mediante la validación de documento de Office en Office 2016
Configurar un entorno seguro para abrir archivos mediante Vista protegida en Office 2016