|
VSantivirus No. 1462 Año 8, miércoles 7 de julio de 2004
Shell.Application, burla el parche de Microsoft
http://www.vsantivirus.com/vul-shellapplication.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
En nuestro artículo "Parche de Microsoft para ADODB.Stream" (http://www.vsantivirus.com/parche-adodbstream.htm), comentábamos que aún después que el control "ADODB.Stream" es deshabilitado por dicho parche, todavía es posible lanzar programas en el sistema del usuario, sin que éste deba intervenir en el proceso, simplemente visitando un sitio Web.
El exploit que permite utilizar esta vulnerabilidad, ya está disponible en Internet, y existen varios ejemplos que podrían ser utilizados maliciosamente en próximos ataques provocados por algún nuevo gusano o troyano.
Con esta debilidad, el Microsoft Internet Explorer puede habilitar la ejecución de documentos HTML maliciosos, permitiendo la ejecución de un script embebido en ellos. Este script puede alterar la configuración del registro, dejando abierta la posibilidad de otra clase de ataques.
Así, en conjunción con otras vulnerabilidades conocidas, es posible la ejecución de cualquier programa en forma remota.
Por ejemplo, es posible alterar el registro para permitir que vulnerabilidades previamente parchadas, sean explotables otra vez. De este modo, usted podría confiarse en estar protegido luego de instalar las últimas actualizaciones y parches respectivos, incluidas las que solucionaban el problema del objeto ADODB.Stream (ver "Todo sobre ADODB.Stream y como proteger su PC",
http://www.vsantivirus.com/faq-adodbstream.htm
)
Para explotar esto, se requiere el uso de otras vulnerabilidades para redireccionar el navegador a la Zona Local o Mi PC por ejemplo, donde las restricciones son mínimas (vea "Sobre las zonas de seguridad en Windows",
http://www.vsantivirus.com/zonas-ie.htm
).
Esto puede explotarse de múltiples maneras, tanto visitando una página infectada con un código parecido al del gusano "Scob", o a través de mensajes de correo electrónico con formato HTML, enviados por cualquier otro gusano.
De este modo, un ataque del tipo "Cross-Site-Scripting" (la posibilidad de introducir en el campo de un formulario o código embebido en una página, un script malicioso), o vulnerabilidades que permiten inyectar código en documentos HTML, proporcionarían un eficaz mecanismo de ataque en usuarios confiados.
Existen múltiples pruebas de concepto de este tipo de ataque.
Una manera de evitar que un registro previamente parchado, vuelva a ser vulnerable, es aplicar el "Kill Bit" al objeto ActiveX conocido como "Shell.Application". Este objeto permite instalar y ejecutar programas (aún después de aplicar el "Kill Bit" puede ser usado, pero ya no desde el Internet Explorer).
Cómo explicamos en "Todo sobre ADODB.Stream y como proteger su PC", http://www.vsantivirus.com/faq-adodbstream.htm
, al activar el "kill bit" a un objeto ActiveX, se evita que ese control se instale o ejecute.
Para ello debemos modificar el valor "Compatibility Flags" con un valor de 400 (en hexadecimal).
La vulnerabilidad en el objeto "Shell.Application" fue descubierta por "http-equiv" de Malware.com, y ya tiene diez meses de reportada a Microsoft. La reciente atención prestada por la industria y los medios al ataque basado en el control "ADODB.Stream", hace que dicha debilidad haya sido nuevamente tenida en cuenta. No existe una solución eficaz de Microsoft a la misma al momento actual.
Son vulnerables Microsoft Internet Explorer 5.5, 5.5 SP1, 5.5 SP2, 6.0, 6.0 SP1, con todos los parches actualizados.
Para minimizar los riesgos que implica el objeto "Shell.Application", y mientras Microsoft no publique un parche adecuado, estas son las soluciones sugeridas:
Aplicación del "Kill Bit" a "Shell.Application"
Todos estos procedimientos son válidos cada uno por si solo. Seleccione el más conveniente a su caso.
1. Uso de REGEDIT
Ejecute REGEDIT (Inicio, Ejecutar, escriba REGEDIT y pulse Enter), y busque la siguiente entrada:
HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Internet Explorer\ActiveX Compatibility
\{00000566-0000-0010-8000-00AA006D2EA4}
Agregue el siguiente valor (400 en hexadecimal):
Compatibility Flags = 400
Si no existe, dicha clave, le recomendamos el siguiente método para crear dicha clave.
2. Uso de un archivo .REG
Descargue el siguiente archivo:
http://www.videosoft.net.uy/ie-shellapp-adob-hta.reg
Haga doble clic sobre él, y luego acepte agregar su contenido al registro.
Nota: Este registro modifica también el "kill bit" de ADODB.Stream, y el valor "Content Type \application/hta", para prevenir la ejecución de código en cualquier mensaje de correo electrónico malicioso.
Si también estos dos cambios los desea hacer manualmente, debe crear la siguiente clave
(Nota *):
HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Internet Explorer\ActiveX Compatibility
\{00000566-0000-0010-8000-00AA006D2EA4}
"Compatibility Flags"=dword:0000040
Y eliminar la clave "application/hta" de la siguiente rama (Nota
*):
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MIME
\Database\Content Type\application/hta
Nota * : Todos esos cambios ya lo realiza el
archivo de registro "ie-shellapp-adob-hta.reg"
Tenga en cuenta que esta modificación del registro, impedirá el funcionamiento de algunos scripts HTA, utilizados por algunos programas. Sin embargo, usted podrá seguir utilizando la mayoría de los archivos .HTA ejecutados desde Windows, normalmente.
"Shell.Application" es utilizado comúnmente para la administración de algunos sistemas a través de scripts de Visual Basic o Windows Scripting Host (WSH).
Si usted posee un sitio Web instalado en su computadora, aplicar estos cambios, podría causarle algún problema. Si ello es así, utilice el siguiente .REG para deshacer los cambios anteriores (en "Shell.Application" y HTA solamente).
http://www.videosoft.net.uy/restore-ie-shellapp-hta.reg
Recomendación crítica
Además de los cambios mencionados, y para prevenir cualquier futuro ataque de código malicioso que explote otras vulnerabilidades basadas en ActiveX, aconsejamos configurar el Internet Explorer como se indica en el siguiente artículo:
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
Nota: Tenga en cuenta que de todos modos es crítico realizar la configuración para activar el "kill bit" mencionada antes.
Referencias:
THE INSIDER VULNERABILITY STILL WORKS AFTER TODAY'S PATCH
http://www.securityfocus.com/archive/1/367881
THE VULNERABILITY STILL WORKS AFTER TODAY'S PATCH
http://www.securityfocus.com/archive/1/367878
'Zero-Day' Internet Explorer Flaw Detected
http://www.eeye.com/html/research/alerts/AL20040610.html
Más información
Todo sobre ADODB.Stream y como proteger su PC
http://www.vsantivirus.com/faq-adodbstream.htm
Parche de Microsoft para ADODB.Stream
http://www.vsantivirus.com/parche-adodbstream.htm
Microsoft culpa a los piratas, sepa como proteger su PC
http://www.vsantivirus.com/ev-29-06-04.htm
Todo sobre SCOB y su ataque a servidores de Internet
http://www.vsantivirus.com/faq-scob.htm
JS/Scob.A. Descarga archivos al visitar sitios Web
http://www.vsantivirus.com/js-scob-a.htm
W32/Scob.A. Infecta servidores IIS 5.0
http://www.vsantivirus.com/scob-a.htm
Back/Padodor.W. Roba información confidencial
http://www.vsantivirus.com/back-padodor-w.htm
Relacionados
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm
Sobre las zonas de seguridad en Windows
http://www.vsantivirus.com/zonas-ie.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|