|
VSantivirus No. 1031, Año 7, Domingo 4 de mayo de 2003
Ejecución de código remoto a partir de una carpeta Web
http://www.vsantivirus.com/vul-web-folder.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Una vulnerabilidad en el Internet Explorer de Microsoft, permite que un usuario remoto pueda crear un archivo HTML, que una vez cargado en la máquina de su víctima ejecute un código en la zona de seguridad "Mi PC", donde no hay restricciones para la ejecución de la mayoría del código potencialmente peligroso (ActiveX, JavaScript, etc.).
Existe en Internet un reporte y un exploit sobre esta falla, la que se basa en el uso del componente "Carpeta Web".
Los accesos directos a servidores Web reciben el nombre de carpetas Web o HTTP. Estos accesos directos se crean automáticamente en "Mis sitios de red" cuando se abren recursos en los servidores, si se tiene acceso de lectura y escritura en estos. También puede utilizarse el Asistente para agregar lugares de red, para crear accesos directos a servidores Web y otros equipos.
Un usuario remoto puede crear el siguiente código HTML para intentar acceder a la carpeta Web de su víctima:
<body onload=malware() style="behavior:
url(#default#httpFolder);">
<script>
function malware(){document.body.navigate
("http:/ /www.microsoft.com");}
</script>
Si la carpeta Web no existe, un archivo de error es creado en la carpeta TEMP de Windows:
c:\windows\temp\wecerr.txt
El contenido de este archivo de error, puede ser especificado por el usuario remoto. También puede hacerse que el Windows Media Player se ejecute, por medio de un HTML IFRAME conteniendo un archivo .ASF (un formato de Media Player), que puede cargar el archivo temporal:
mhtml:file:/ /C:\WINDOWS\TEMP\wecerr.txt
Debido a que el Media Player es ejecutado localmente, el archivo local es abierto sin restricciones.
El contenido HTML en principio sería abierto como un archivo temporario de Internet, con un mensaje de advertencia, pero esto puede eludirse y un segundo archivo "wecerr.txt" sería escrito, sobrescribiendo al primero, con un contenido diferente.
Este segundo código, utiliza un frame VML. VML (Vector Markup Lenguage o Lenguaje de marcas vectoriales), es una aplicación del XML (eXtensible Markup Lenguaje) que define un formato para codificar la información gráfica vectorial, pero que soporta marcas para la información de gráficos vectoriales de la misma forma que el HTML para la información textual. Este frame puede apuntar a un sitio remoto.
Debido a que este código es escrito sobre el contenido del primer "wecerr.txt", el VML sería interpretado por el IE, y el código ejecutado en la zona local (Mi PC).
Como resultado, un usuario remoto puede crear un HTML que cuando sea abierto por el usuario, se pueda causar la ejecución de un script en la máquina de la víctima, como si éste se estuviera ejecutando localmente, aunque el código estuviera en una ubicación remota.
No hay solución disponible para esta falla por parte de Microsoft.
Solución temporal para disminuir las consecuencias de esta falla: Evite el uso de ActiveX en su navegador, como se explica en este artículo:
Navegando más seguros y sin molestos Pop-Ups con el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|