Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Posible vector de ataque vía IE y Acrobat Reader
 
VSantivirus No 2568 Año 11, miércoles 17 de octubre de 2007

Posible vector de ataque vía IE y Acrobat Reader
http://www.vsantivirus.com/17-10-07.htm

Por Angela Ruiz
angela@videosoft.net.uy

Se ha reportado un exploit que utiliza dos vulnerabilidades combinadas, para comprometer al sistema con una nueva clase de ataque.

Una de ellas, es una antigua vulnerabilidad en Internet Explorer que afecta a IE6 SP2 (CVE-2004-1331), que permite eludir la ventana de advertencia cuando se intenta descargar un archivo ejecutable (solo aparece la ventana para abrir o guardar el archivo). El Internet Explorer 7 no es vulnerable a este fallo.

De todas maneras, este error depende de la configuración predeterminada de Windows, y no puede ser explotada si la opción "Ocultar las extensiones del archivo para tipos de archivos conocidos" está desmarcada (por defecto esta opción está marcada).

Para desmarcar dicha opción, y prevenir este tipo de ataque, sugerimos seguir las siguientes instrucciones:

Mostrar las extensiones y ver todos los archivos
http://www.vsantivirus.com/faq-mostrar-extensiones.htm

La otra vulnerabilidad que puede ser combinada con la anterior, es la relacionada con el formato PDF, anunciada por GNUCITIZEN unas semanas atrás. De este modo, sería posible llevar a cabo un ataque exitoso, utilizando la vulnerabilidad en IE6 para descargar el archivo, y la aplicación Acrobat Reader para abrirlo.

Si finalmente se lograra ejecutar un código malicioso con este procedimiento, el sistema se vería comprometido.

Un video demuestra cómo es posible abrir la calculadora de Windows con la prueba de concepto de este exploit.

Lo curioso en este caso, es que el fallo puede explotarse solamente si se abre el archivo con Acrobat Reader, pero no cuando se intenta abrir desde el navegador, utilizando el control ActiveX de Acrobat.

Para minimizar los riesgos de esta nueva clase de ataque, aconsejamos configurar la opción "Ocultar las extensiones del archivo para tipos de archivos conocidos" como se indicó antes, y también seguir los siguientes consejos respecto al Acrobat Reader:

Cómo correr menos riesgos al abrir archivos PDF
http://www.vsantivirus.com/faq-pdf.htm

Relacionado:

Back from the dead (incluye video)
http://aviv.raffon.net/2007/10/15/BackFromTheDead.aspx


Actualización 24/10/07:

Alerta: Exploits para la vulnerabilidad en PDF
http://www.vsantivirus.com/24-10-07.htm

Exploit.Shell.A. Detección de exploit en archivos PDF
http://www.vsantivirus.com/exploit-shell-a.htm


Más información:


CVE-2004-1331 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-1331
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2004-1331

Vulnerabilidad en Adobe Reader y Acrobat (mailto)
http://www.vsantivirus.com/vul-adobe-cve-2007-5020.htm

Posible vulnerabilidad en lectores de archivos PDF
http://www.vsantivirus.com/vul-pdf-zeroday-200907.htm




[Última modificación: 24/10/07 04:46 -0200]




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2007 Video Soft BBS