|
VSantivirus No. 2086 Año 10, domingo 26 de marzo de 2006
Aumenta el peligro con vulnerabilidad CVE-2006-1359
http://www.vsantivirus.com/jl-260306.htm
Por Jose Luis Lopez (*)
videosoft@videosoft.net.uy
En las últimas 24 horas, hemos recibido información de que numerosos sitios ya se aprovechan de la vulnerabilidad en el Internet Explorer identificada como CVE-2006-1359. Estos sitios descargan y ejecutan un troyano en el equipo de los usuarios, sin su conocimiento.
CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado público, la cuál es operada por cve.mitre.org, corporación patrocinada por el gobierno norteamericano.
ESET NOD32 identifica con el nombre de JS/Exploit.CVE-2006-1359, a este tipo de código insertado como un JavaScript en páginas web maliciosas.
Aún así advertimos la necesidad de mantenerse alertas ante la evolución de este exploit, que se aprovecha de una vulnerabilidad en el Internet Explorer descubierta esta semana, para la cuál aún no se han publicado actualizaciones. Microsoft ha informado que está trabajando en el tema, aunque como es su costumbre, pone como prioridad probar exhaustivamente el posible parche antes de liberarlo.
El problema lo ocasiona un error en el manejo de un puntero de memoria, durante el proceso de interpretación del método "createTextRange()" aplicado al control de un botón de opciones (radio button).
Los casos reportados, indican que numerosos sitios (algunos de ellos seguramente tomados por otras vulnerabilidades que permiten la instalación de este código malicioso en el servidor), pueden llegar a instalar en el equipo de los usuarios, un archivo llamado CA.EXE, detectado como un troyano por la heurística de NOD32 (NewHeur_PE
virus, detectado ahora como
Win32/TrojanDownloader.Small.COX).
Al ejecutarse este archivo, el mismo intenta a su vez descargar otro troyano desde el siguiente sitio (esta dirección puede variar en futuras variantes):
http: // www .fullfatskinny .com/
Este segundo troyano, también detectado por la heurística de
NOD32 (ahora como
Win32/Spy.Negett.D), crea varios archivos en el sistema, en una carpeta llamada FYT dentro de Windows:
c:\windows\fyt\~ipcfg636
c:\windows\fyt\~start636
c:\windows\fyt\~tmp636
c:\windows\fyt\~view636
c:\windows\fyt\mn32.dll
c:\windows\fyt\nm32.exe
NM32.EXE es el componente principal, el cuál instala la biblioteca MN32.DLL, para que se integre al Internet Explorer como un objeto BHO (Browser Helper Object), de tal modo que se llega a ejecutar como parte del propio proceso del navegador cada vez que éste se inicia.
La función principal de este troyano es recolectar información del usuario infectado, lo que incluye tanto datos de los sitios visitados, como información almacenada en el disco duro. Toda la información obtenida es enviada a un sitio web remoto, tanto vía email como FTP.
Esta información ha variado en unas pocas horas (y seguramente lo seguirá haciendo), por lo que se supone que hay varios "chicos malos" trabajando ahí afuera para sacar el mayor provecho de esta vulnerabilidad. Por lo tanto, todo esto solo debe ser tomado como una advertencia para mantenernos alertas ante la evolución de los acontecimientos, al menos hasta que Microsoft publique el parche respectivo.
NOTA 12/04/06: Microsoft publicó el
parche para esta vulnerabilidad. Más información: "MS06-013 Actualización acumulativa para IE (912812)"
http://www.vsantivirus.com/vulms06-013.htm
Como dijimos, por el momento NOD32 ha identificado todas estas amenazas impidiendo su ejecución.
De todos modos, sugerimos la configuración del Internet Explorer que publicamos en el artículo "Configuración personalizada para hacer más seguro el IE", que indicamos a continuación, la cuál impide la ejecución de código JavaScript en sitios que no son considerados de confianza.
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
Más información:
MS06-013 Actualización acumulativa para IE (912812)
http://www.vsantivirus.com/vulms06-013.htm
Exploit.CVE-2006-1359. Explota vulnerabilidad en IE
http://www.vsantivirus.com/exploit-cve-2006-1359.htm
Alerta amarilla por exploit a vulnerabilidad en IE
http://www.vsantivirus.com/jl-240306.htm
Ejecución de código en IE con "createTextRange"
http://www.vsantivirus.com/vul-ie-createtextrange-220306.htm
Referencias:
Vulnerability Summary CVE-2006-1359
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-1359
CVE-2006-1359
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1359
BUGTRAQ:20060322 IE crash
http://www.securityfocus.com/archive/1/428441
Microsoft Internet Explorer (mshtml.dll) Remote Code Execution
http://www.computerterrorism.com/research/ct22-03-2006
Vulnerability Note VU#876678
Microsoft Internet Explorer createTextRange() vulnerability
http://www.kb.cert.org/vuls/id/876678
Microsoft Internet Explorer CreateTextRange Remote Code Execution Vulnerability
http://www.securityfocus.com/bid/17196
Advisory ID : FrSIRT/ADV-2006-1050
Microsoft Internet Explorer "createTextRang" Remote Code Execution Vulnerability
http://www.frsirt.com/english/advisories/2006/1050
Secunia Advisory: SA18680
Microsoft Internet Explorer "createTextRange()" Code Execution
http://secunia.com/advisories/18680/
New publicly disclosed vulnerability in Internet Explorer
http://blogs.technet.com/msrc/archive/2006/03/22/422849.aspx
Microsoft Security Advisory (917077) - Vulnerability in the way HTML Objects Handle Unexpected Method Calls Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/917077.mspx
(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director técnico y gerente general de NOD32 Uruguay.
[Última modificación:
12/04/06 04:45 -0300]
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|