|
VSantivirus No. 1959 Año 9, viernes 18 de noviembre de 2005
ActiveX vulnerable en desinstalación de Sony XCP
http://www.vsantivirus.com/vul-codesupport-161105.htm
Por Angela Ruiz
angela@videosoft.net.uy
[Actualizado el
18/11/05 02:38 -0200]
Actualizamos este artículo, para clarificar algunas dudas que la lectura del mismo pudieran crear en nuestros lectores.
La confusión se origina porque en la descripción del problema se confunde el desinstalador del controvertido rootkit que instalaba la protección anticopia de Sony, con la propia protección anticopia.
La desinstalación del "rootkit", está explicada en el siguiente artículo:
Eliminación del rootkit XCP DRM de Sony-BMG
http://www.vsantivirus.com/rootkit-xcp-drm-sony.htm
Pero esto elimina el "rootkit" propiamente dicho, no la protección anticopia.
Para eliminar la protección anticopia (luego que Sony resolvió quitarla debido a las tremendas presiones recibidas por la forma de implementar la misma), el usuario debe solicitar un desinstalador en el sitio de Sony, en el siguiente enlace:
UNINSTALL REQUESTS
http://cp.sonybmg.com/xcp/english/uninstall.html
Aquí es donde entra la vulnerabilidad ahora descripta. En dicha página se descarga (o se descargaba, porque por el momento el software de desinstalación no está disponible), un control ActiveX usado para el proceso de descarga del desinstalador del software de protección completo de First4Internet XCP (que utiliza Sony-BMG).
Dicho control es el que posee la vulnerabilidad que anunciamos en esta alerta, la cuál podría ser explotada por un atacante remoto para comprometer el sistema del usuario.
El problema se debe a un error de diseño en el sitio web de Sony. La vulnerabilidad es causada por el control "CodeSupport.ocx", que se instala a través del Internet Explorer, cuando el usuario descarga el software de desinstalación de la protección anticopia XCP DRM.
Cuando se llenaba el formulario para recibir una copia del desinstalador, el sitio instalaba dicho control. Este control puede permanecer en el sistema aún después que se haya
salido de la página de Sony. (NOTA: La opción UNINSTALL REQUESTS, actualmente no está disponible)
Este control ActiveX es marcado como "safe-for-scripting" (seguro para scripting), soportando varios métodos potencialmente peligrosos como "RebootMachine", "InstallUpdate" e "IsAdministrator", lo que permite que pueda ser explotado por cualquier otro sitio web malicioso para instalar código de forma arbitraria en el equipo afectado.
Ya existen códigos que pueden ser usados como exploits, lo que convierte a este problema en algo crítico.
Su equipo puede ser vulnerable, solo si descargó en algún momento la herramienta de desinstalación de Sony.
Es importante insistir en que éste es un problema diferente al causado por el componente rootkit instalado por la protección anticopia. La desinstalación del rootkit no instala ningún código ActiveX.
Solución:
Borrar el control ActiveX vulnerable del sistema.
Si usted no utilizó el desinstalador original de la herramienta de protección contra copias de Sony, entonces está a salvo de esta vulnerabilidad.
Si utilizó un formulario en la página de cp.sonybmg.com, o tiene dudas sobre el método usado por el desinstalador para llegar a su PC, igualmente descargue el siguiente archivo de registro de nuestro sitio, y aplíquelo haciendo doble clic sobre él:
http://www.videosoft.net.uy/sony-codesupportocx-killbit.reg
Esto creará el "kill-bit" al ActiveX vulnerable, impidiendo su ejecución. El "kill-bit" es un determinado valor (1024), que se aplica a la entrada "Compatibility Flags" del ActiveX correspondiente, impidiendo que dicho control se instale o ejecute.
Otra forma de eliminar el ActiveX vulnerable, es buscar y borrar el archivo "CodeSupport.ocx".
NOTA VSA: Si intentaba ingresar al formulario en la página de Sony que descargaba el ActiveX mencionado, y está utilizando Windows XP SP2, una advertencia de ventana emergente le será mostrada con el siguiente texto:
Este sitio puede que requiera el siguiente control de
ActiveX: 'Software Update Helper Cabinet (First 4
Internet)' de 'First 4 Internet Ltd'. Haga clic aquí para
instalar...
Créditos:
Muzzy, J. Alex Halderman, and Ed Felten.
Más información:
Sony CD First4Internet XCP
Uninstallation ActiveX Control Vulnerability
http://secunia.com/advisories/17610/
Sony CD First4Internet XCP
Uninstallation ActiveX Vulnerabilities
http://www.frsirt.com/english/advisories/2005/2454
Sony's Web-Based Uninstaller
Opens a Big Security Hole; Sony to Recall Discs
http://www.freedom-to-tinker.com/?p=927
Muzzy's research about Sony's XCP DRM system
http://hack.fi/~muzzy/sony-drm/
Sony CD First4Internet XCP DRM Software Security Issue
http://secunia.com/advisories/17408/
Relacionados:
¿Está usted infectado con el rootkit de Sony-BMG?
http://www.vsantivirus.com/14-11-05.htm
Eliminación del rootkit XCP DRM de Sony-BMG
http://www.vsantivirus.com/rootkit-xcp-drm-sony.htm
IMPORTANTE: La desinstalación del rootkit, no elimina el software anticopia, solo desinstala el componente capaz de esconder el mismo (y cualquier otro archivo, carpeta, entrada del registro o recurso, cuyo nombre comience con los caracteres $SYS$).
Tecnología anticopia de Sony compromete la seguridad
http://www.vsantivirus.com/vul-xcp-sony.htm
IRCBot.PH. Utiliza la tecnología anticopia de Sony
http://www.vsantivirus.com/ircbot-ph.htm
Rootkit.XCP. Detección para el rootkit de Sony
http://www.vsantivirus.com/rootkit-xcp.htm
[Actualizado 14/11/05 03:32
-0200]
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|