Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Ejecución de código en Internet Explorer (daxctle.ocx)
 
VSantivirus No 2243 Año 10, jueves 14 de setiembre de 2006

Ejecución de código en Internet Explorer (daxctle.ocx)
http://www.vsantivirus.com/vul-ie-daxctleocx-130906.htm

Por Angela Ruiz
angela@videosoft.net.uy


Ha sido identificada una vulnerabilidad en Microsoft Internet Explorer, la cuál puede ser explotada por un atacante remoto para provocar el fallo del programa (denegación de servicio), o incluso tomar el control completo del sistema afectado, cuando el usuario visita un sitio web malicioso.

El problema se produce por un desbordamiento de búfer que provoca la corrupción de la memoria utilizada por el programa, cuando el mismo recibe un argumento malformado, al procesar el método "KeyFrame()" del objeto ActiveX "DirectAnimation.PathControl" (daxctle.ocx). Esto puede ser utilizado para la ejecución remota de comandos.

Son afectadas todas las versiones actuales de Internet Explorer, con todos los parches y actualizaciones al día.

Se conoce la existencia de exploits que se aprovechan de esta vulnerabilidad.


Solución:

No existe ninguna solución oficial para este problema al momento de la publicación de esta alerta (ver abajo, "Herramienta para habilitar el kill bit de DAXCTLE.OCX")

La configuración sugerida por VSAntivirus en el siguiente artículo, impide la ejecución de este exploit cuando se visita un sitio no seguro:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm


Herramienta para habilitar el kill bit de DAXCTLE.OCX


El SANS Institute Internet Storm Center (http://isc.sans.org), ha publicado una herramienta que habilita el "kill bit" del componente afectado (daxctle.ocx)

Para usarla, descargue el archivo siguiente y ejecútelo en su PC:

http://handlers.sans.org/tliston/DAXCTLE.OCX_KillBit.exe

Al ejecutarlo, un mensaje del tipo "No se puede comprobar el fabricante, ¿Está seguro que desea ejecutar este software?" le puede ser mostrada. En ese caso, a pesar de la advertencia, pulse el botón "Ejecutar".

Si el kill bit no ha sido activado (sería la situación normal la primera vez que use esta herramienta), una ventana con el título "Error" y el mensaje "The killbit for DAXCTLE.OCX is currently UNSET. Do you want to set it?" le será mostrada. Pulse en "Si" para activarlo (esto protegerá su PC de un exploit para esta vulnerabilidad).

Si por el contrario, el kill bit ya ha sido activado, una ventana con el título "Error" y el mensaje "The killbit for DAXCTLE.OCX is currently SET. Do you want to remove it?" le será mostrada. Pulse en "Si" para desactivarlo (si por alguna razón deseara hacerlo).

Recuerde, su PC estará protegido si ACTIVA el kill bit de DAXCTLE.OCX (SET killbit).

El SANS también publicó la misma herramienta para ser ejecutada desde línea de comandos.

Más información:

Killbit apps for current IE exploit
http://isc.sans.org/diary.php?storyid=1706


Sobre el kill bit de DAXCTLE.OCX

Por cada control ActiveX existe un único identificador de clase llamado CLSID.

CLSID (Class identifier, o Identificador de clase), es un identificador universal exclusivo (UUID) que identifica un componente COM. Cada componente COM tiene su CLSID en el registro de Windows de forma que otras aplicaciones puedan cargarlo.

COM (Modelo de Objetos Componentes), es un modelo de programación orientada a objetos que define cómo interactúan los mismos con una aplicación determinada o entre distintas aplicaciones.

En el registro de Windows, si vemos la sección "HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Internet Explorer\ ActiveX Compatibility", nos encontramos con varios identificadores CLSID de ActiveX que están representados por un código extremadamente largo de letras y números entre corchetes, por ejemplo: {00000566-0000-0010-8000-00AA006D2EA4}.

En cada clave existe un valor llamado "Compatibility Flags". Cuando este valor es equivalente a "1024" (o 400 en hexadecimal), se evita que ese control se instale o ejecute (esto hace SpywareBlaster por ejemplo, para evitar la carga de muchos parásitos, spywares y adwares).

Habilitando el "kill bit" para "daxctle.ocx" en el registro de Windows, dicho objeto igual podrá acceder a su disco duro, pero no lo podrá hacer cuando se encuentre dentro del Internet Explorer, evitando así que una vulnerabilidad como la detectada pueda ser utilizada maliciosamente.

NOTA: El siguiente es el CLSID para DAXCTLE.OCX

{D7A7D7C3-D47F-11D0-89D3-00A0C90833E6}


Software afectado:

- Internet Explorer 5.01 SP4 (Windows 2000 SP4)
- Internet Explorer 6 SP1 (Windows 2000 SP4)
- Internet Explorer 6 SP1 (Windows XP SP1)
- Internet Explorer 6 en Windows XP SP2
- Internet Explorer 6 en Windows Server 2003
- Internet Explorer 6 en Windows Server 2003 SP1
- Internet Explorer 6 en Windows Server 2003 (Itanium)
- Internet Explorer 6 en Windows Server 2003 SP1 (Itanium)
- Internet Explorer 6 en Windows Server 2003 x64 Edition
- Internet Explorer 6 en Windows XP Professional x64 Edition

También son afectadas las siguientes versiones, para las que Microsoft ya no realiza parches:

- Internet Explorer 6 SP1 en Windows 98
- Internet Explorer 6 SP1 en Windows 98 SE
- Internet Explorer 6 SP1 en Windows Millennium Edition


Referencias:

Microsoft Internet Explorer "daxctle.ocx" KeyFrame Buffer Overflow Vulnerability
http://www.frsirt.com/english/advisories/2006/3593


Créditos:


nop (XSec)


[Última modificación: 19/09/06 17:16 -0300]



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS