Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Nueva vulnerabilidad en el sistema de ayuda de Windows
 
VSantivirus No. 1374 Año 8, sábado 10 de abril de 2004

Nueva vulnerabilidad en el sistema de ayuda de Windows
http://www.vsantivirus.com/hi-vul-its-protocol.htm

Por Xavier Caballé (Hispasec) (*)
http://www.hispasec.com/


[Publicado con autorización de Hispasec]

El CERT ha anunciado la existencia de una importante vulnerabilidad de Internet Explorer y que afecta al sistema utilizado por la ayuda on-line de Windows. En el momento de redactar este boletín no existe todavía ninguna actualización que corrija este problema, a pesar de que están circulando algunos exploits que se aprovechan de la misma. Debido a que la vulnerabilidad se encuentra en el sistema de ayuda de Windows, esta vez incluso aquellos usuarios que no utilizan Internet Explorer o Microsoft Outlook son también vulnerables.

Microsoft Internet Explorer no valida de forma correcta el origen del script que forma parte de los archivos CHM (Compiled Help) cuando éstos son procesados por los manejadores del protocolo ITS (Microsoft InfoTech Storage), que es el sistema utilizado por la ayuda on-line de Windows.

Las ayudas de Windows son una serie de archivos compilados donde están integrado el código fuente HTML, gráfico y, opcionalmente, scripts, controles ActiveX, funciones Java... Para la visualización de estas ayudas se utiliza Internet Explorer mediante la invocación de una URL con los protocolos its://, ms-its://, ms-itss:// o mhtml:// (entre otros).

El problema consiste en que Internet Explorer no aplica correctamente la protección de zona que impide la ejecución de código en páginas ubicadas en páginas remotas. Si se le pasa a Internet Explorer una URL del tipo mhtml:// que apunta a un archivo no existente, se puede forzar la ejecución de un archivo CHM remoto que contiene código hostil y que será ejecutado como si fuera un archivo local.

La vulnerabilidad puede, por tanto, ser explotada mediante la visita a una página web o al visualizar un mensaje que contenga el código que se aprovecha de la vulnerabilidad y que provocará la ejecución automática del código asociado dentro de la zona local. Lo que significará que se ejecutará con los mismos privilegios del usuario activo en el sistema.

Es importante señalar que incluso aquellos usuarios de Windows que no utilicen Internet Explorer como navegador pueden verse afectados por este problema. Debido a que, en la configuración por defecto, el sistema operativo asocia Internet Explorer como aplicación que gestiona este protocolo, el acceso a un enlace que utilice este protocolo provocará la ejecución del mismo. La forma más fácil de determinar la aplicación asociada al protocolo consiste en ejecutar una URL del tipo mthtml://localhost a través del menú Inicio->Ejecutar.

Gusanos que sacan provecho de esta vulnerabilidad

Las características de esta vulnerabilidad, que permite la ejecución de código simplemente visitando una página web con una versión vulnerable de Internet Explorer, lo hacen especialmente atractivo como sistema para la infección y propagación de gusanos. En estos momentos tenemos constancia de la existencia de diversos gusanos que utilizan esta vulnerabilidad como mecanismo de distribución.

Ya son varios los programas antivirus que detectan e identifican las páginas que contienen el código que aprovecha la vulnerabilidad. Por ejemplo, una página HTML que contiene el exploit ya es identificada por diversos antivirus, tal como podemos determinar según el sistema de monitorización 24hx7d del laboratorio de Hispasec, son los siguientes:

Sybari :: [Exploit.HTML.Mht]
eTrustAV-Inoc :: No detectado
NOD32 :: [HTML/Exploit.Mht.A]
Kaspersky :: [Exploit.HTML.Mht]
Symantec :: [Bloodhound.Exploit.6]
Panda :: [Exploit/MIE.CHM]
McAfee :: No detectado
Sophos :: No detectado
TrendMicro :: No detectado
eTrustAV-Inoc :: No detectado

Los archivos CHM que incluyen la vulnerabilidad también son identificados por diversos antivirus:

Sybari :: [TrojanDownloader.VBS.Psyme.p]
eTrustAV-Inoc :: No detectado
NOD32 :: No detectado
Kaspersky :: [TrojanDownloader.VBS.Psyme.p]
McAfee :: [VBS/Psyme]
Symantec :: [Download.Trojan]
Panda :: No detectado
Sophos :: No detectado
TrendMicro :: No detectado

En el caso del exploit incluido en un archivo CHM, Sybari, Kaspersky, McAfee y Symantec detectan la presencia del código malévolo.

Prevención

Microsoft no ha publicado todavía ninguna actualización que corrija este problema, por lo que la única forma de evitar la infección consiste en desactivar el manejador del protocolo. Para ello es preciso renombrar las siguientes claves del registro, dentro de HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler

ms-its
ms-itss
its
mk

Es importante indicar que realizar este cambio puede tener un impacto en el funcionamiento del sistema de ayuda de Windows.

Otra forma de detectar las páginas vulnerables consiste en disponer de un programa antivirus convenientemente actualizado que reconozca los intentos de utilización de esta vulnerabilidad.


Más información

Vulnerability in Internet Explorer ITS Protocol Handler
http://www.us-cert.gov/cas/techalerts/TA04-099A.html

Vulnerability Note VU#323070:
Microsoft Internet Explorer does not properly validate source 
of CHM components referenced by ITS protocol handlers
http://www.kb.cert.org/vuls/id/323070

Microsoft Internet Explorer
ITS Protocol Zone Bypass Vulnerability
http://www.securityfocus.com/bid/9658

Prueba de concepto de la vulnerabilidad
http://www.securityfocus.com/bid/9658/exploit/

Nova vulnerabilitat al sistema d'ajuda de Windows
http://www.quands.info/stories/2004/04/09/itsie.html


(*) Este artículo, original de Hispasec http://www.hispasec.com/, es publicado en VSAntivirus.com con la respectiva autorización.

Artículo original:
http://www.hispasec.com/unaaldia/1993





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS