Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

El IncrediMail puede permitir la ejecución de troyanos
 
VSantivirus No. 618 - Año 6 - Domingo 17 de marzo de 2002

El IncrediMail puede permitir la ejecución de troyanos
http://www.vsantivirus.com/vul-incredimail.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

IncrediMail es un cliente de correo preferido por muchos usuarios, sobre todo por aquellos que creen estar a salvo con él, de las vulnerabilidades del Outlook.

Sin embargo, algunas de estas fallas (que en realidad afectan a los mensajes con formato HTML y a todos aquellos programas que utilicen las funciones del Internet Explorer para visualizarlos), también pueden ser explotadas maliciosamente con el IncrediMail.

En este caso, con el manejo del código adecuado, un atacante puede obtener el acceso a una computadora remota, aún si ésta utiliza como cliente de correo el IncrediMail.

IncrediMail guarda automáticamente los datos adjuntos a los mensajes, en una carpeta como ésta (en una instalación por defecto):

C:\Archivos de programa\IncrediMail\Data\Identities\
{Número de la identidad}\Message Store\Attachments

Si alguien envía un mensaje con formato HTML y el código adecuado para explotar una conocida vulnerabilidad (ver Referencias), y además con un troyano (o un virus) como adjunto, el mismo se guardaría en la carpeta mencionada.

El código HTML solo necesitaría tener algunas ordenes embebidas en el HTML dinámico, sin utilizar ninguna clase de Active Scripting ni ActiveX (ver Referencias), para que se ejecutara el troyano o virus incluido con el mensaje.

Este es un ejemplo (aunque no se muestra completo por razones obvias, es fácil conseguir otros ejemplos en la red):

<exploit>
<![CDATA[
<object id="oFile"
classid="clsid:11111111-1111-1111-1111-111111111111"
codebase=" C:\Archivos de programa\IncrediMail\Data
\Identities\{Número de la identidad}/Message Store/
Attachments/trojan.exe"></object>]]>
</exploit>

Otros programas de correo que guarden los adjuntos en carpetas determinadas, podrían correr la misma suerte.

Recordemos que esta falla permite la ejecución de cualquier código en forma remota, aún cuando se tengan desactivadas las opciones de Active Scripting o ActiveX desde la configuración de Seguridad de Internet, y como vemos, también sin tener que utilizar el Outlook como programa de correo.

En el artículo "Solución parcial para ejecución de comandos sin ActiveX", encontraremos una forma provisoria para protegernos de este tipo de acción:

VSantivirus No. 618 - 17/mar/02
Solución parcial para ejecución de comandos sin ActiveX
http://www.vsantivirus.com/sol-innerhtm.htm


Referencias:

VSantivirus No. 603 - 2/mar/02
Ejecución de comandos sin Active Scripting ni ActiveX
http://www.vsantivirus.com/vul-innerhtm.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS