Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Seguimos golpeándonos los dedos con un martillo
 
VSantivirus No. 284 - Año 5 - Miércoles 18 de abril de 2001

Seguimos golpeándonos los dedos con un martillo
Por José Luis López

Este artículo debería llamarse, "¡No haga doble clic sobre archivos inocentes!". Pero preferimos titularlo "Seguimos golpeándonos los dedos con un martillo". Ya verá porqué.

Georgi Guninski, en su último reporte (Security Advisory #42, 2001), advierte que al hacer un simple doble clic sobre archivos con extensiones aparentemente inocentes (ver "VSantivirus No. 147 - Año 4 - Sábado 2 de diciembre de 2000, ¿Extensiones de Archivo? ¿Y eso qué es? por Ignacio M. Sbampato), un usuario podría ser engañado para ejecutar programas en forma arbitraria.

Esto funciona tanto al hacer doble clic sobre archivos visualizados en el Explorador de Windows, como en el Internet Explorer, bajo Windows 98, Me y 2000.

Supongamos que la extensión de alguno de esos archivos fuera un identificador de clases (CLSID, class identifier), como por ejemplo:

testhta.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}

En ese caso, tanto el Explorador de Windows como el IE, no mostrarán la extensión CLSID (la larga lista de números y letras después del .txt), sino solamente la extensión .TXT.

Por lo tanto, esto es lo que veríamos en la ventana de Windows:

testhta.txt

Esta identificación CLSID corresponde a la de los objetos .HTA, por lo que se verá en las propiedades, en tipo de archivo, como "HTML Application". Y no solo eso, sino que si ejecutamos ese archivo (o sea, hacemos doble clic sobre él), el mismo se ejecutará como tal (como un .HTA) y no como un archivo de texto.

Es que los archivos HTA, normalmente están asociados al "Microsoft HTML Application host", utilidad que generalmente encontramos en C:\WINDOWS\SYSTEM\MSHTA.EXE, y que es el programa que abre y ejecuta este tipo de archivos.

Algunos escenarios maliciosos podrían aprovecharse de esto, dejando scripts peligrosos, en recursos compartidos, o enviándolos en archivos adjuntos a través del correo electrónico.

La solución dada por Guninski, es la de no hacer doble clic sobre ningún archivo en el Explorador de Windows ni en el Internet Explorer.

En su sitio (http://www.guninski.com/testhta1.zip) hay una demostración de esta vulnerabilidad.

Por su parte, Microsoft (al que se le reportó el problema el pasado 11 de abril), aún no ha dado una respuesta oficial al tema.

Finalmente, y luego de haber visto los principales detalles de esta vulnerabilidad, creemos interesante sacar algunas conclusiones.

Primero, no se han reportado a la fecha casos de que esta falla haya sido explotada malignamente (aún).

Segundo, la solución de no hacer doble clic sobre ningún archivo, nos suena tal vez alarmista (aunque a no dudarlo, segura, tanto como olvidarnos de Windows, y ejecutar solo programas bajo DOS). Y lo que es más importante, también es poco educativa. Lo correcto debería ser: no hacer doble clic sobre ningún archivo recibido que usted no solicitó.

Tal vez para un usuario con cierta experiencia, la falta del icono clásico de todo archivo .TXT (un archivo de texto, en este ejemplo), o la descripción como "HTML Application" en la columna "Tipo" si tenemos la vista seleccionada como "Detalles" (también en este ejemplo), debería convertirse en suficiente motivo para sospechar.

Más allá de ello, y pensando no solo en los que puedan tener a esta altura cierta experiencia, hay algo que ya debería ser muy evidente: no debemos abrir JAMAS, bajo ningún concepto, archivos adjuntos no solicitados.

A pesar de todas las advertencias, la ejecución de este tipo de código, es hoy por hoy, el principal culpable del ingreso de código malicioso a nuestra computadora. Y esta vulnerabilidad, no agrega nada nuevo a esta historia, más allá de una nueva posibilidad de engañarnos.

En el artículo de Ignacio Sbampato que mencionamos antes (¿Extensiones de Archivo? ¿Y eso qué es?), se habla por ejemplo de los archivos .SHS, los que por defecto tampoco son visualizados por Windows. Esto permite que virus como el LIFE_STAGES (VBS/Stages), puedan engañarnos para poder ser ejecutados en nuestra PC.

Es que, en definitiva, cómo ya dijo alguien en una lista de seguridad, advertir que hacer doble clic sobre un archivo desconocido puede ser peligroso, es casi lo mismo que decir que darnos con un martillo en los dedos nos va a doler.

Sin embargo, la mayoría de los usuarios se siguen golpeando los dedos, y siguen abriendo archivos que no han solicitado.

Educar una y otra vez sobre el no hacer esto último, debería ser la más importante de las lecciones dejadas por esta vulnerabilidad.

Más información:
http://www.guninski.com/clsidext.html

Demostración:
http://www.guninski.com/testhta1.zip


Ver también:

VSantivirus No. 147
02/dic/00 - ¿Extensiones de Archivo? ¿Y eso qué es?

VSantivirus No. 110
19/jun/00 - Virus: VBS/Stages.A

 

Copyright 1996-2001 Video Soft BBS