Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Internet Explorer SP2: Ejecución automática de código
 
VSantivirus No. 1633 Año 8, domingo 26 de diciembre de 2004

Internet Explorer SP2: Ejecución automática de código
http://www.vsantivirus.com/vul-iesp2-261204.htm

Por Angela Ruiz
angela@videosoft.net.uy


Se han publicado en Internet los detalles de un exploit que compromete seriamente a Windows XP SP2, ya que permite la ejecución de código en forma remota, sin la intervención del usuario, simplemente por visitar una página maliciosa.

Aunque no se trata de una vulnerabilidad en si misma, se vale de múltiples agujeros conocidos en el Service Pack 2 de Windows XP e Internet Explorer, incluyendo dos fallos en el objeto "Help ActiveX Control" (ver "Relacionados"). Otras de las vulnerabilidades utilizadas, se vale del objeto "ADODB.Connection".

Existe una prueba de concepto que proporciona el código para un exploit, lo que compromete seriamente la seguridad de los usuarios ante la probable aparición de variantes maliciosas en la forma de algún nuevo gusano o troyano.

El exploit puede mostrar una ventana emergente de error. En el caso de un ataque real, una de las pocas posibilidades de no ejecutar el código, sería reiniciar en ese momento la máquina. Cualquier otra acción con la ventana emergente de error, no evitaría la ejecución del script, con la creación en este caso, de un archivo .HTA en la carpeta de inicio de Windows (en el ejemplo publicado, este .HTA descarga y ejecuta un archivo inocente, pero es fácil suponer que podría cambiarse por un código malicioso).

El exploit está basado en pruebas de concepto ya conocidas, solo que ahora no se requiere ninguna acción en la ventana del navegador, ejecutándose en forma automática con solo visualizar la página maliciosa.

El exploit requiere la presencia del control "hhtctrl.ocx", no presente por defecto en todas las versiones de Windows.


Productos afectados:

- Microsoft Internet Explorer 6.0
- Microsoft Windows XP Pro SP2
- Microsoft Windows XP Home SP2

Posiblemente también sean vulnerables productos anteriores.


Solución:

Instalar los siguientes parches de Microsoft en los sistemas afectados:

MS05-001 HTML Help permite ejecución de código (890175)
http://www.vsantivirus.com/vulms05-001.htm



Recomendaciones:


Se recomienda desactivar "Secuencias de comandos ActiveX" del Internet Explorer, tal como se explica en el siguiente artículo, lo que impide la ejecución del exploit:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm


Créditos:

Paul from Greyhats
Michael Evanchik
Http equiv


Relacionados:

Microsoft Internet Explorer SP2 Fully Automated Remote Compromise
http://www.securityfocus.com/archive/1/385472

Acceso a contenido local con Microsoft Help ActiveX
http://www.vsantivirus.com/vul-ie-help-activex-271104.htm

Internet Explorer: XSS en DHTML Edit ActiveX Control
http://www.vsantivirus.com/vul-ie-dhtml-activex-161204.htm


Actualizaciones:

12/01/05 - 02:58 -0200 (Parche MS05-001)



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS