Controlado desde el
19/10/97 por NedStat
|
Utilización de MSHTA para eludir zonas de seguridad
|
|
VSantivirus No. 1118 Año 7, Miércoles 30 de julio de 2003
Utilización de MSHTA para eludir zonas de seguridad
http://www.vsantivirus.com/vul-mshta-zonas.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Un reciente artículo publicado por SpywareInfo (http://www.spywareinfo.com/newsletter/archives/july-2003/29.php), menciona como muy grave una falla de Windows, detectada por integrantes de sus propios foros.
Esta falla puede permitir a un atacante introducir y ejecutar troyanos y cualquier otra clase de código malicioso, a través del Internet Explorer, eludiendo todas las configuraciones de seguridad.
Los archivos HTA, normalmente están asociados al "Microsoft HTML Application host", que es la utilidad MSHTA.EXE, el programa que abre y ejecuta este tipo de archivos. Esta extensión representa archivos en un formato binario propietario de Microsoft, conteniendo código HTML estándar.
Si un archivo es liberado de alguna forma en el sistema (por ejemplo utilizando ActiveX) y luego se ejecuta, invocando a MSHTA.EXE, ésta aplicación quedará esperando cualquier script HTA desde un archivo o página Web y ejecutará cualquier código embebido en la página.
En concreto, según SpywareInfo, esto puede permitir a cualquier sitio malicioso embeber un troyano, gusano o virus, dentro de una página web, e infectar a todos los visitantes que utilicen Internet Explorer.
Ya en abril de 2001 (ver "Seguimos golpeándonos los dedos con un martillo", http://www.vsantivirus.com/gun42.htm), el investigador Georgi Guninski había advertido que algunos escenarios maliciosos podrían aprovecharse de MSHTA, dejando scripts peligrosos, en recursos compartidos, o enviándolos en archivos adjuntos a través del correo electrónico.
Microsoft publicó un parche para que el MSHTA no pudiera ser invocado desde el navegador. Sin embargo, ello no cambió la opinión de Kevin McLeavy, desarrollador del programa antitroyano BOClean, quien siempre ha dicho que el MSHTA es una grave amenaza para la seguridad.
Según McLeavy, la aplicación aún puede ser ejecutada en la zona local o "Mi PC". "En otras palabras, se puede eludir completamente la estructura de las zonas de seguridad y los parches del Internet Explorer, debido a que MSHTA se ejecuta siempre en la zona ‘local’, por lo que cuando se le presenta un script [HTA], siempre intentará interpretarlo y ejecutarlo, eludiendo cortafuegos y restricciones del IE", dice McLeavy en el artículo de referencia.
Según Mike Healan, de SpywareInfo, esto es un riesgo muy severo para la seguridad, y recomienda que MSHTA sea deshabilitado totalmente, a menos que usted lo necesite en forma específica.
La falla fue descubierta por el equipo de SpywareInfo, a partir de la aparición el 28 de julio, de un programa llamado WINMAIN.EXE, que se propagaba rápidamente a través de diferentes computadoras. Aunque la fuente de este archivo sigue siendo un misterio, es probable haya sido distribuido por algún software del tipo Adware o Spyware.
Ese programa crea un archivo C:\WINLOG.HTML y luego ejecuta a MSHTA.EXE desde la carpeta de Windows, dejándolo en espera (hot standby), listo para aceptar cualquier script HTA. Después de ello WINMAIN finaliza, pero MSHTA queda activo durante todo el tiempo que dure la sesión de Windows, y se reactiva cuando Windows se reinicia. Una página maliciosa puede ser abierta, y cualquier código embebido en ella ejecutado en la máquina en forma local.
Privacy Software Corporation ha desarrollado una pequeña utilidad, "HTAStop", que deshabilita o habilita el scripting HTA. El programa puede ser descargado desde los enlaces en
http://www.nsclean.com/htastop.html (seleccione "go to: Freebies").
Un punto a tener en cuenta, es que la falla no puede ser explotada hasta después que el troyano original haya sido instalado, tanto a través del uso de ActiveX, como por cualquier otro método. Se recomienda configurar la zona de seguridad "Internet" para deshabilitar ActiveX, como se explica en "Navegando más seguros y sin molestos Pop-Ups con el IE",
http://www.vsantivirus.com/faq-sitios-confianza.htm).
Relacionados:
HTA DOWNLOAD EXPLOIT
http://www.nsclean.com/psc-htas.html
Nasty New Security Flaw Discovered
http://www.spywareinfo.com/newsletter/archives/july-2003/29.php
Seguimos golpeándonos los dedos con un martillo
http://www.vsantivirus.com/gun42.htm
Internet Explorer 6 sigue siendo vulnerable
http://www.vsantivirus.com/vul-ie6-hta.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|