Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Vulnerabilidad crítica en Microsoft XML Core Services
 
VSantivirus No 2289 Año 10, martes 7 de noviembre de 2006

Vulnerabilidad crítica en Microsoft XML Core Services
http://www.vsantivirus.com/vul-xmlhttp-031106.htm

Por Angela Ruiz
angela@videosoft.net.uy


Una vulnerabilidad ha sido reportada en Microsoft XML Core Services (Servicios principales de XML), la cuál puede ser explotada por usuarios maliciosos para comprometer el sistema de los usuarios.

La vulnerabilidad está relacionada con un error no especificado en el control ActiveX XMLHTTP 4.0. Un atacante podría explotar este fallo construyendo una página Web maliciosa que potencialmente podría ejecutar código en el equipo del usuario que la visite utilizando Internet Explorer.

Un ataque vía correo electrónico podría ser posible, si el usuario hace clic en enlaces de mensajes con formato HTML.

Según reporta Secunia, el exploit para esta vulnerabilidad está siendo utilizado activamente.

NOTA VSA 15/11/06: Microsoft publicó el boletín MS06-071 con el parche para esta vulnerabilidad. Más información:

MS06-071 Parche para MSXML Core Services (928088)
http://www.vsantivirus.com/vulms06-071.htm

La configuración sugerida por VSAntivirus en el siguiente enlace, previene la ejecución del exploit en sitios no confiables:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm

Si no se aplica el parche, sugerimos activar el kill-bit para el objeto ActiveX vulnerable.


Herramienta para habilitar el kill bit de XMLHTTP

Descargue el siguiente archivo .REG y haga clic sobre él:

http://www.videosoft.net.uy/msxml-killbit.reg

Una ventana con un mensaje preguntándole si desea agregar la información al Registro le será mostrada. Haga clic en [ Si ] para aceptarlo.

Dicho archivo agregará la siguiente entrada en el registro:

HKLM\SOFTWARE\Microsoft\Internet Explorer
\ActiveX Compatibility\{88D969C5-F192-11D4-A65F-0040963251E5}
"Compatibility Flags" = dword:00000400

NOTA: Para aplicar el parche de Microsoft, elimine los cambios realizados, descargando y haciendo clic sobre el siguiente archivo:

http://www.videosoft.net.uy/msxml-killbit-off.reg



Sobre el kill bit de XMLHTTP

Por cada control ActiveX existe un único identificador de clase llamado CLSID.

CLSID (Class identifier, o Identificador de clase), es un identificador universal exclusivo (UUID) que identifica un componente COM. Cada componente COM tiene su CLSID en el registro de Windows de forma que otras aplicaciones puedan cargarlo.

COM (Modelo de Objetos Componentes), es un modelo de programación orientada a objetos que define cómo interactúan los mismos con una aplicación determinada o entre distintas aplicaciones.

En el registro de Windows, si vemos la sección "HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Internet Explorer\ ActiveX Compatibility", nos encontramos con varios identificadores CLSID de ActiveX que están representados por un código extremadamente largo de letras y números entre corchetes, por ejemplo: {00000566-0000-0010-8000-00AA006D2EA4}.

En cada clave existe un valor llamado "Compatibility Flags". Cuando este valor es equivalente a "1024" (o 400 en hexadecimal), se evita que ese control se instale o ejecute (esto hace SpywareBlaster por ejemplo, para evitar la carga de muchos parásitos, spywares y adwares).

Habilitando el "kill bit" para "XMLHTTP" en el registro de Windows, dicho objeto igual podrá acceder a su disco duro, pero no lo podrá hacer cuando se encuentre dentro del Internet Explorer, evitando así que una vulnerabilidad como la detectada pueda ser utilizada maliciosamente.

NOTA: El siguiente es el CLSID para XMLHTTP

{88D969C5-F192-11D4-A65F-0040963251E5}


Software vulnerable:

- Microsoft Windows 2000
- Microsoft Windows Server 2003
- Microsoft Windows XP

Otros sistemas operativos anteriores podrían ser vulnerables, pero ya no son soportados por Microsoft.

NOTA VSA: El archivo .REG publicado por VSAntivirus, también es compatible con versiones anteriores de Windows.


Más información:

MS06-071 Parche para MSXML Core Services (928088)
http://www.vsantivirus.com/vulms06-071.htm

Microsoft Security Advisory (927892)
Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/927892.mspx

US-CERT VU#585137:
http://www.kb.cert.org/vuls/id/585137

Microsoft XMLHTTP ActiveX Control Code Execution Vulnerability
http://secunia.com/advisories/22687/



[Última modificación: 15/11/06 02:53 -0300]



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS