Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Vulnerabilidad crítica en Visual Studio 2005
 
VSantivirus No 2286 Año 10, viernes 3 de noviembre de 2006

Vulnerabilidad crítica en Visual Studio 2005
http://www.vsantivirus.com/vul-vs2005-311006.htm

Por Angela Ruiz
angela@videosoft.net.uy


Se ha anunciado una nueva vulnerabilidad del tipo Zero day, relacionada con Visual Studio 2005, y según Secunia, activamente explotada al momento actual. Sin embargo, con la información actualmente disponible, podemos decir que el riesgo para usuarios domésticos es mínimo.

En un reciente aviso de seguridad, Microsoft confirmó haber sido alertado de la aparición de un código del tipo prueba de concepto (PoC), que podría ser utilizado como exploit en una debilidad relacionada con un control ActiveX que afecta ciertas configuraciones de Windows.

Aunque los detalles sobre el exploit no han sido revelados, según Microsoft el mismo atacaría una vulnerabilidad específicamente detectada en "WmiScriptUtils.dll", una biblioteca de Windows relacionada con Visual Studio 2005.

Según la información, un script con una llamada al objeto ActiveX "WMI Object Broker control", incluido en dicho DLL, afectaría algunas instalaciones con Internet Explorer (incluido el IE7), permitiendo la ejecución remota de código.

Quienes ejecuten Visual Studio 2005 en Windows Server 2003 y Windows Server 2003 Service Pack 1 con sus configuraciones por defecto, que incluye la Configuración de Seguridad Avanzada activada (Enhanced Security Configuration), no son afectados.

Si estos usuarios utilizan Internet Explorer 7, pueden estar en riesgo al visitar un sitio malicioso, solo si activan la característica "ActiveX Opt-in" en la Zona de Internet (o sea, si habilitan el "contenido activo" en esta zona, que en el IE7 viene desactivado por defecto).

Usuarios con Internet Explorer 6, están en peligro con la configuración estándar (el IE6 por defecto tiene habilitado el "contenido activo" para la Zona de Internet).

WMI (Windows Management Instrumentation), es un conjunto de servicios de Windows que permiten realizar consultas sobre información genérica del sistema, aplicaciones y eventos, las que pueden ser accedidas por programas externos.

La biblioteca de enlace afectada no corresponde al WMI propiamente dicho, sino a una serie de funciones que facilitan el acceso de la información aportada a scripts realizados dentro de Visual Studio.

El control "WMI Object Broker" es utilizado por el asistente de ayuda de WMI en Visual Studio 2005.

Muchos sistemas Windows tienen WMI instalado, especialmente en sitios de trabajo donde esto permite que los administradores puedan llevar a cabo un monitoreo del sistema.

Sin embargo, solamente los sistemas de desarrollo que utilizan WMI, tendrán este archivo en particular, lo que reduce significativamente el número de computadoras en las cuales el exploit puede ser eficaz.

Visual Studio 2005 proporciona una variedad de herramientas para la creación de sitios Web y aplicaciones para Windows.


Solución:

Instale el siguiente parche:

MS06-073 Vulnerabilidad en Visual Studio 2005 (925674)
http://www.vsantivirus.com/vulms06-073.htm


Si usted no tiene instalado Visual Studio 2005, y su computadora no está en un entorno corporativo que tenga habilitado el Windows Management Instrumentation (WMI) para un monitoreo del sistema, no existe ningún peligro por la acción de este exploit.

Si usted utiliza Visual Studio 2005 y WMI, puede eludir el riesgo de ser atacado, si aplica el kill-bit a la CLSID correspondiente, tal como se explica en Microsoft Security Advisory 927709 ("Suggested Actions", "Workarounds", "Prevent the WMI Scripting control from running in Internet Explorer").


Más información:

Microsoft Security Advisory (927709)
Vulnerability in Visual Studio 2005 Could Allow Remote Code Execution
www.microsoft.com/technet/security/advisory/927709.mspx

CVE-2006-4704
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4704

Microsoft Visual Studio 2005 WMI Object Broker Remote Code Execution Vulnerability
http://www.securityfocus.com/bid/20843

Microsoft Visual Studio WMI Object Broker ActiveX Control Code Execution
http://secunia.com/advisories/22603


Glosario:

Un exploit Zero day (Día cero), se refiere aquí a un código malicioso que afecta una vulnerabilidad a la seguridad que no ha sido mitigada por un parche del vendedor.



[Última modificación: 13/12/06 04:16 -0300]



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS