Otra grave vulnerabilidad en los CDs de Sony-BMG

VSantivirus No. 1978 Año 9, miércoles 7 de diciembre de 2005

Otra grave vulnerabilidad en los CDs de Sony-BMG
http://www.vsantivirus.com/ev-sony-mediamax5.htm

Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/

Electronic Frontier Foundation (EFF) y Sony-BMG, anunciaron la existencia de una nueva vulnerabilidad relacionada con la seguridad, que afecta a los CDs producidos por Sony-BMG, que incluyen el software de protección contra copias denominado SunnComm MediaMax Version 5.

Esta vulnerabilidad ha sido descubierta por la firma de seguridad iSEC Partners, luego que EFF solicitara un examen del software de SunnComm.

Sony-BMG y SunnComm han liberado un parche para que los usuarios afectados puedan protegerse.

El problema es diferente al relacionado con el rootkit instalado por el software de protección contra copias XCP (Extended Copy Protection), creado por la compañía británica First 4 Internet, y afecta a CDs diferentes.

La vulnerabilidad puede ser explotada en forma remota mediante un control ActiveX llamado "AxWebRemoveCtrl", y está relacionada con la carpeta de archivos instalada en las computadoras de los usuarios por el software de SunnComm cuando se reproduce cualquiera de los CDs protegidos por esta tecnología.

Cuando el usuario reproduce por primera vez un CD protegido por MediaMax version 5.0.21.0, el programa se instala automáticamente, creando una carpeta llamada "SunnComm Shared", con derechos de acceso total a la misma (es utilizada para las listas de reproducción de los temas). Eso significa que cualquier proceso, usuario o cliente de red, tiene la posibilidad de leer, modificar y borrar el contenido de dicho directorio, aún cuando el usuario actual no tenga privilegios para crear o modificar archivos en otras carpetas del sistema (un usuario invitado por ejemplo).

Esto permite que cualquier usuario o programa, pueda sobrescribir archivos de dicha carpeta con algún código malicioso (por ejemplo, el archivo MMX.EXE puede ser sustituido por un troyano). Cuando un usuario con derechos administrativos inserte un CD con la protección MediaMax, el troyano sería ejecutado automáticamente.

El control "AxWebRemoveCtrl", permite la acción de copiar el archivo mencionado de forma remota, cuando el usuario visita un sitio web malicioso. Básicamente, dicho control puede ser utilizado por usuarios o programas maliciosos, para acceder a la carpeta creada por el programa, escalar privilegios, y llegar finalmente a obtener el control total del equipo afectado por medio de la ejecución del troyano.

Los artistas y títulos de los CDs afectados son los siguientes:

- Alicia Keys (Unplugged)
- Amici Forever (Defined)
- Babyface (Grown & Sexy)
- Black Rebel Motorcycle Club (Howl)
- Britney Spears (Hitme - Remix)
- Cassidy (I'm A Hustla)
- Charlie Wilson (Charlie, Last Name Wilson)
- Chris Brown (Chris Brown)
- Cook, Dixon & Young (Volume One)
- David Gray (Life In Slow Motion)
- Dido (Dido Live)
- Faithless (Forever Faithless/ENH)
- Imogen Heap (Speak For Yourself)
- Judd & Maggie (Subjects)
- Leo Kottke/Mike Gordon (Sixty Six Steps)
- Maroon 5 (Live Friday the 13th)
- Maroon 5 (Live)
- Melissa O'Neil (Melissa O'Neil)
- My Morning Jacket (Z)
- Our Lady Peace (Healthy In Paranoid Times)
- Raheem Devaughn (The Love Experience)
- Santana (All That I Am)
- Sarah McLachlan (Bloom (Remix Album))
- Say Anything (…Is A Real Boy)
- Stellastarr* (Harmonies for the Haunted)
- Syleena Johnson (Chapter 3: The Flesh)
- The Trews (Den of Thieves)
- T-Pain (Rappa Ternt Sanga)
- Various (Canadian Idol High Notes)
- Various (So Amazing: An All Star Tribute To Luther Vandross)
- Various (Songs Brown Hotel)
- Various (Tribute To Luther)
- Wakefield (Which Side Are You On?)
- YoungBloodZ (Everybody Know Me)

La lista completa de CDs se ha publicado en el siguiente enlace:

http://sonybmg.com/mediamax/titles.html

Los parches o el desinstalador de esta protección, pueden descargarse del sitio de Sony-BMG:

http://sonybmg.com/mediamax/

Cómo medida de precaución, también puede desinstalarse el ActiveX vulnerable, mediante el siguiente procedimiento:

1. Utilizando el Explorador de Windows, acceda a la siguiente carpeta:

C:\WINDOWS\Downloaded Program Files

2. Busque el siguiente archivo, y si aparece, bórrelo:

AxWebRemoveCtrl Control

Si dicho archivo no se encuentra instalado, su computadora no puede ser afectada de forma remota, pero podría serlo a nivel local, por lo que se recomienda de todos modos la desinstalación del software de SunnComm.

Más información:

http://sonybmg.com/mediamax/

(*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en http://www.enciclopediavirus.com/contacto/index.php

Artículo original:
www.enciclopediavirus.com/noticias/verNoticia.php?id=599

Relacionados:

Vulnerabilidad en ActiveX de SunnComm MediaMax (Sony)
http://www.vsantivirus.com/vul-axwebremovectrl-181105.htm

¿Está usted infectado con el rootkit de Sony-BMG?
http://www.vsantivirus.com/14-11-05.htm

Eliminación del rootkit XCP DRM de Sony-BMG
http://www.vsantivirus.com/rootkit-xcp-drm-sony.htm

IMPORTANTE: La desinstalación del rootkit, no elimina el software anticopia, solo desinstala el componente capaz de esconder el mismo (y cualquier otro archivo, carpeta, entrada del registro o recurso, cuyo nombre comience con los caracteres $SYS$).

Tecnología anticopia de Sony compromete la seguridad
http://www.vsantivirus.com/vul-xcp-sony.htm

IRCBot.PH. Utiliza la tecnología anticopia de Sony
http://www.vsantivirus.com/ircbot-ph.htm

Rootkit.XCP. Detección para el rootkit de Sony
http://www.vsantivirus.com/rootkit-xcp.htm

ActiveX vulnerable en desinstalación de Sony XCP
http://www.vsantivirus.com/vul-codesupport-161105.htm

España afectado por el sistema anticopia de Sony
http://www.vsantivirus.com/mm-sony-xcp.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com