Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Vulnerabilidad crítica en Windows (WebViewFolderIcon)
 
VSantivirus No 2256 Año 10, viernes 29 de setiembre de 2006

Vulnerabilidad crítica en Windows (WebViewFolderIcon)
http://www.vsantivirus.com/vul-windows-webview-280906.htm

Por Angela Ruiz
angela@videosoft.net.uy


Una vulnerabilidad crítica ha sido detectada en el shell de Microsoft Windows, la cuál puede ser explotada para la ejecución de código de forma remota.

El problema es ocasionado por el objeto ActiveX "Microsoft WebViewFolderIcon ActiveX control" (Web View), utilizado por el Explorador de Windows.

La vulnerabilidad puede ser utilizada por un atacante para la ejecución remota de código, a través de una página Web maliciosa o de un correo electrónico con formato HTML.

También puede ser explotada por un troyano u otra clase de malware.

Son afectadas todas las versiones de Windows actualmente soportadas, menos Windows Server 2003 y Windows Server 2003 SP1 con la configuración por defecto.


Solución:

Aplicar el siguiente parche publicado el 10/10/06

MS06-057 Vulnerabilidad en WebViewFolderIcon (923191)
http://www.vsantivirus.com/vulms06-057.htm


Herramienta para habilitar el kill bit de WEBVW.DLL

El SANS Institute Internet Storm Center (http://isc.sans.org), ha publicado una herramienta que habilita el "kill bit" del componente afectado (WEBVW.DLL)

Para usarla, descargue el archivo siguiente y ejecútelo en su PC:

http://handlers.sans.org/tliston/WEBVW.DLL_KillBit.exe

Al ejecutarlo, un mensaje del tipo "No se puede comprobar el fabricante, ¿Está seguro que desea ejecutar este software?" podría ser mostrado. En ese caso, a pesar de la advertencia, pulse el botón "Ejecutar".

Si el kill bit no ha sido activado (sería la situación normal la primera vez que use esta herramienta), una ventana con el título "Error" y el mensaje "The killbit for WEBVW.DLL is currently UNSET. Do you want to set it?" le será mostrada. Pulse en "Si" para activarlo (esto protegerá su PC de un exploit para esta vulnerabilidad).

Si por el contrario, el kill bit ya ha sido activado, una ventana con el título "Error" y el mensaje "The killbit for WEBVW.DLL is currently SET. Do you want to remove it?" le será mostrada. Pulse en "Si" para desactivarlo (si por alguna razón deseara hacerlo).

Recuerde, su PC estará protegido si ACTIVA el kill bit de WEBVW.DLL (SET killbit).

El SANS también publicó la misma herramienta para ser ejecutada desde línea de comandos.

Más información:

Setslice Killbit Apps
http://isc.sans.org/diary.php?storyid=1742


Sobre el kill bit de WEBVW.DLL

Por cada control ActiveX existe un único identificador de clase llamado CLSID.

CLSID (Class identifier, o Identificador de clase), es un identificador universal exclusivo (UUID) que identifica un componente COM. Cada componente COM tiene su CLSID en el registro de Windows de forma que otras aplicaciones puedan cargarlo.

COM (Modelo de Objetos Componentes), es un modelo de programación orientada a objetos que define cómo interactúan los mismos con una aplicación determinada o entre distintas aplicaciones.

En el registro de Windows, si vemos la sección "HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Internet Explorer\ ActiveX Compatibility", nos encontramos con varios identificadores CLSID de ActiveX que están representados por un código extremadamente largo de letras y números entre corchetes, por ejemplo: {00000566-0000-0010-8000-00AA006D2EA4}.

En cada clave existe un valor llamado "Compatibility Flags". Cuando este valor es equivalente a "1024" (o 400 en hexadecimal), se evita que ese control se instale o ejecute (esto hace SpywareBlaster por ejemplo, para evitar la carga de muchos parásitos, spywares y adwares).

Habilitando el "kill bit" para "WEBVW.DLL" en el registro de Windows, dicho objeto igual podrá acceder a su disco duro, pero no lo podrá hacer cuando se encuentre dentro del Internet Explorer, evitando así que una vulnerabilidad como la detectada pueda ser utilizada maliciosamente.

NOTA: Los siguientes son los CLSID para WEBVW.DLL

{844F4806-E8A8-11d2-9652-00C04FC30871}
{E5DF9D10-3B52-11D1-83E8-00A0C90DC849}


Más información:

MS06-057 Vulnerabilidad en WebViewFolderIcon (923191)
http://www.vsantivirus.com/vulms06-057.htm

Microsoft Security Advisory (926043)
Vulnerability in Windows Shell Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/926043.mspx

Vulnerability Note VU#753044
Microsoft Windows WebViewFolderIcon ActiveX integer overflow
http://www.kb.cert.org/vuls/id/753044

CVE-2006-3730
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3730


Relacionados:

Exploit.IESlice. Detección de exploit "setslice()"
http://www.vsantivirus.com/exploit-ieslice.htm

Cibercriminales explotan fallo en Windows
http://www.vsantivirus.com/na-04-10-06.htm



[Última modificación: 10/10/06 20:30 -0200 ]



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS