|
VSantivirus No 2289 Año 10, martes 7 de noviembre de 2006
Vulnerabilidad crítica en Microsoft XML Core Services
http://www.vsantivirus.com/vul-xmlhttp-031106.htm
Por Angela Ruiz
angela@videosoft.net.uy
Una vulnerabilidad ha sido reportada en Microsoft XML Core Services (Servicios principales de XML), la cuál puede ser explotada por usuarios maliciosos para comprometer el sistema de los usuarios.
La vulnerabilidad está relacionada con un error no especificado en el control ActiveX XMLHTTP 4.0. Un atacante podría explotar este fallo construyendo una página Web maliciosa que potencialmente podría ejecutar código en el equipo del usuario que la visite utilizando Internet Explorer.
Un ataque vía correo electrónico podría ser posible, si el usuario hace clic en enlaces de mensajes con formato HTML.
Según reporta Secunia, el exploit para esta vulnerabilidad está siendo utilizado activamente.
La configuración sugerida por VSAntivirus en el siguiente enlace, previene la ejecución del exploit en sitios no confiables:
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
Si no se aplica el parche, sugerimos activar el kill-bit para el objeto ActiveX vulnerable.
Herramienta para habilitar el kill bit de XMLHTTP
Descargue el siguiente archivo .REG y haga clic sobre él:
http://www.videosoft.net.uy/msxml-killbit.reg
Una ventana con un mensaje preguntándole si desea agregar la información al Registro le será mostrada. Haga clic en [ Si ] para aceptarlo.
Dicho archivo agregará la siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Internet Explorer
\ActiveX Compatibility\{88D969C5-F192-11D4-A65F-0040963251E5}
"Compatibility Flags" = dword:00000400
NOTA: Para aplicar
el parche de Microsoft, elimine los cambios realizados, descargando y haciendo clic sobre el siguiente archivo:
http://www.videosoft.net.uy/msxml-killbit-off.reg
Sobre el kill bit de XMLHTTP
Por cada control ActiveX existe un único identificador de clase llamado CLSID.
CLSID (Class identifier, o Identificador de clase), es un identificador universal exclusivo (UUID) que identifica un componente COM. Cada componente COM tiene su CLSID en el registro de Windows de forma que otras aplicaciones puedan cargarlo.
COM (Modelo de Objetos Componentes), es un modelo de programación orientada a objetos que define cómo interactúan los mismos con una aplicación determinada o entre distintas aplicaciones.
En el registro de Windows, si vemos la sección "HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Internet Explorer\ ActiveX Compatibility", nos encontramos con varios identificadores CLSID de ActiveX que están representados por un código extremadamente largo de letras y números entre corchetes, por ejemplo: {00000566-0000-0010-8000-00AA006D2EA4}.
En cada clave existe un valor llamado "Compatibility Flags". Cuando este valor es equivalente a "1024" (o 400 en hexadecimal), se evita que ese control se instale o ejecute (esto hace SpywareBlaster por ejemplo, para evitar la carga de muchos parásitos, spywares y adwares).
Habilitando el "kill bit" para "XMLHTTP" en el registro de Windows, dicho objeto igual podrá acceder a su disco duro, pero no lo podrá hacer cuando se encuentre dentro del Internet Explorer, evitando así que una vulnerabilidad como la detectada pueda ser utilizada maliciosamente.
NOTA: El siguiente es el CLSID para XMLHTTP
{88D969C5-F192-11D4-A65F-0040963251E5}
Software vulnerable:
- Microsoft Windows 2000
- Microsoft Windows Server 2003
- Microsoft Windows XP
Otros sistemas operativos anteriores podrían ser vulnerables, pero ya no son soportados por Microsoft.
NOTA VSA: El archivo .REG publicado por VSAntivirus, también es compatible con versiones anteriores de Windows.
Más información:
MS06-071 Parche para MSXML Core Services (928088)
http://www.vsantivirus.com/vulms06-071.htm
Microsoft Security Advisory (927892)
Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/927892.mspx
US-CERT VU#585137:
http://www.kb.cert.org/vuls/id/585137
Microsoft XMLHTTP ActiveX Control Code Execution Vulnerability
http://secunia.com/advisories/22687/
[Última modificación:
15/11/06 02:53 -0300]
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|