Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Ejecución automática de adjuntos en Eudora e IE
 
VSantivirus No. 624 - Año 6 - Sábado 23 de marzo de 2002

Ejecución automática de adjuntos en Eudora e IE
http://www.vsantivirus.com/vul-webbrowser.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy


Este aviso ha sido publicado antes de la fecha prevista (27 de marzo), debido a que ya ha sido divulgado por otros investigadores. La razón de posponer su publicación, es la de darle tiempo a Microsoft y Qualcomm a fabricar sus parches.

La falla descubierta permite que cualquier aplicación que utilice un control como WebBrowser, sea afectado por esta vulnerabilidad que permite la ejecución de archivos adjuntos a un correo electrónico, sin necesidad de utilizar ninguna clase de Active Scripting ni ActiveX, por lo que no puede ser controlado por los seteos de seguridad del Internet Explorer.

Algunas de las aplicaciones vulnerables son:

* Qualcomm Eudora
* Microsoft Outlook
* Microsoft Outlook Express

La advertencia se basa en dos fallas, aunque ambas están estrechamente relacionadas.

El foco de la advertencia se centra en la habilidad de abrir el Internet Explorer como aplicación, y ejecutar un enlace URL sin importar la zona de seguridad en que la aplicación se utilice.

También involucra a los objetos WMV/WMA, correspondientes al Windows Media Video y Audio, un formato propietario de Microsoft, también disponible para su uso off-line. WMV/WMA generalmente se ejecutan con Windows Media Player, y poseen algunas habilidades de manejo de libretos (scripts), que permite a los desarrolladores controlar fácilmente diversos aspectos de una película o presentación por ejemplo.

Una de estas facilidades de scripting, está centrada en el uso del comando URL, que habilita al player a abrir una dirección o recurso determinado, en un momento exactamente establecido a una hora específica.

De este modo, se puede abrir un URL en la "Zona de Internet", desde la "Zona de seguridad" restringida.

Si un atacante, sabiendo la ubicación de los archivos importantes, se aprovecha de esta forma de manejo de los objetos WMV y WMA, puede tomar el control total de una computadora.

Eudora, un popular programa cliente de correo, preferido por muchos por su invulnerabilidad a conocidas fallas del Outlook y Outlook Express, utiliza por defecto el control WebBrowser para visualizar los mensajes con formato HTML, pero aplica un filtrado a elementos potencialmente peligrosos como <iframe>, <object>, <embed>, etc.

Por defecto, Eudora guarda sus adjuntos en la carpeta C:\Archivos de programa\Qualcomm\Eudora\Attach. Cuando un usuario recibe un mensaje, Eudora copia los adjuntos a esa ubicación.

La vulnerabilidad relatada, hace que el usuario del Eudora ejecute el adjunto (un archivo con formato WMV o WMA), simplemente al pretender ver o incluso borrar el mensaje recibido.

Un script en el archivo .WMV puede lanzar una página HTML maliciosa (que podría ser también parte del adjunto recibido), utilizando el Internet Explorer. La ejecución de ese HTML en la zona de seguridad más baja (Mi PC), puede tener consecuencias desastrosas, como la ejecución de un tercer elemento adjunto, un ejecutable (.EXE), que bien podría ser un troyano con el que el atacante podría tomar el control total de la computadora. También podría ser un virus o gusano, que realizara otras tareas destructivas o que se propagara replicando un método similar a otras computadoras.

El Eudora no es la única aplicación vulnerable, sino que lo son todas aquellas que usen el control WebBrowser.

La falla ha sido probada con éxito en todas las versiones conocidas del Eudora.

También es teóricamente posible hacerlo de la misma forma en el Outlook u Outlook Express, aunque no ha sido testeado.

Una solución alternativa para los usuarios del Eudora, hasta que Qualcomm publique un parche o una actualización de su producto, es no utilizar el control WebBrowser para visualizar los mensajes con formato HTML.

Para ello, vaya a Tools (Herramientas) -> Options (Opciones) -> Viewing Mail (Visor de correo), y desmarque la opción "Use Microsoft's viewer" (Usar visor de Microsoft).

También puede cambiar la ubicación de las carpetas en el Eudora, tal como se explica en su sitio: http://eudora.com/techsupport/kb/2020hq.html

Como forma de protección para otros productos que utilicen WebBrowser, se recomienda no usar la ubicación por defecto para las carpetas usadas por el programa, ya que para explotar la falla, es necesario saber la ubicación de las mismas, cosa fácil si se instalan los programas con su configuración por defecto.

Microsoft y Qualcomm fueron alertados el 17 de marzo. El primero inició una investigación el mismo día, mientras que Qualcomm no ha respondido aún.

Aplicaciones probadas:

* Microsoft Internet Explorer 5, 5.5 y 6.
* Qualcomm Eudora 5.1, "Sponsored mode".
* Microsoft Outlook Express 5 y 6.
* Microsoft Outlook 2000.

Referencias:
http://security.greymagic.com/adv/gm002-ie/


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2002 Video Soft BBS