Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
Nuevos ataques producen cambios en la configuración DNS
 
VSantivirus No. 1182 Año 7, Jueves 2 de octubre de 2003

 Nuevos ataques producen cambios en la configuración DNS
http://www.vsantivirus.com/02-10-03.htm

Por Angela Ruiz
angela@videosoft.net.uy

El CERT Coordination Center de la Carnegie Mellon University, ha advertido últimamente de un aumento en la cantidad de informes recibidos sobre ataques que explotan la vulnerabilidad descripta en el boletín MS03-032 de Microsoft, y que dicho parche no corrige.

El 20 de agosto, Microsoft liberó el parche acumulativo MS03-032, para el Internet Explorer 5.01, 5.5, 6.0, y 6.0 para Windows Server 2003, que afirmaba corregir, entre otras, una falla en el manejo de las etiquetas de objeto (Object Type Vulnerability), que permite que un atacante pueda ejecutar código arbitrario en el sistema de un usuario, por el simple hecho de visitar una página maliciosa, o a través de un correo electrónico con formato HTML. Sin embargo el parche no soluciona todas las fallas.

Los ataques reportados, incluyen la instalación de herramientas para lanzar ataques distribuidos de negación de servicio (DDoS) y el uso del módem del sistema de la víctima para marcar servicios de pago por minuto, de tal modo que un usuario puede encontrarse a fin de mes, con un aumento significativo en el costo de sus gastos telefónicos.

Para ejecutar estos ataques, se debe convencer a un usuario que esté utilizando una versión vulnerable del Internet Explorer (IE), para que visualice un documento HTML (una página web o un correo electrónico con formato HTML). De ese modo, el atacante remoto, puede llegar a ejecutar cualquier código en forma arbitraria en la máquina del usuario, con los privilegios que éste posea en la misma.

Una de las últimas actividades relacionadas con esta falla, se refiere a cambios involuntarios en la configuración de los servidores DNS en Windows 2000 y XP, que podría ser el resultado de un script que se aprovecha de la vulnerabilidad comentada, y que ocurre al visitarse un sitio web.

La vulnerabilidad descrita, ocurre debido a una interacción entre los tipos MIME (Multipurpose Internet Mail Extensions), y la manera como se manejan archivos HTML (HTA), empotrados en las etiquetas OBJECT. Cuando un archivo HTA es referido por el atributo DATA de un elemento OBJECT, y el servidor web devuelve el "Content-Type" como "application/hta", el IE puede ejecutar el archivo HTA directamente, sin la intervención del usuario. El HTML usado para referirse al archivo de HTA puede ser generado por lo menos, de tres maneras diferentes, con un HTML estático, generado por un script, o desde una fuente XML.

Modificar la ejecución de controles ActiveX en la zona de seguridad de Internet, puede evitar que se utilice de ese modo un archivo HTA.

Pero no solo el IE es vulnerable. Cualquier programa que haga uso del control WebBrowser de ActiveX, o del visor HTML (MSHTML), puede ser afectado por esta vulnerabilidad. Esto incluye Outlook y Outlook Express, aunque las últimas versiones de éste último abren los mensajes en una zona restringida, en donde los controles ActiveX y los plug-ins está deshabilitados por defecto.

Se recomienda la siguiente configuración para evitar la ejecución de controles ActiveX peligrosos:

Navegando más seguros y sin molestos Pop-Ups con el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm

Otro procedimiento, podría ser borrar la carpeta "application/hta" de la siguiente clave:

HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\MIME
\Database\Content Type\application/hta

También ayuda utilizar un cortafuegos como ZoneAlarm en lugar del que trae Windows XP (por ejemplo), ya que ZA puede negar el acceso a la red del host para archivos HTA (mshta.exe).

Como todas estas soluciones cubren parcialmente el espectro posible para aprovecharse maliciosamente de esta vulnerabilidad, se sugiere emplear todas ellas para minimizar los riesgos de ataques.

Tenga en cuenta que de cualquier modo, verá reducida alguna facilidad relacionada con el uso de archivos HTA y controles ActiveX, luego de aplicar estas soluciones.


Relacionados:

MS03-040 Actualización acumulativa para IE (828750)
http://www.vsantivirus.com/vulms03-040.htm

Navegando más seguros y sin molestos Pop-Ups con el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm

Crecen ataques usando fallas que parche de IE no corrige
http://www.vsantivirus.com/30-09-03.htm

Parche crítico del Internet Explorer no funciona
http://www.vsantivirus.com/ev09-09-03.htm

Falla crítica en el Internet Explorer y como protegernos
http://www.vsantivirus.com/10-09-03.htm

MS03-032 Actualización acumulativa para IE (822925)
http://www.vsantivirus.com/vulms03-032.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS