|
MS05-012 Ejecución remota de código (OLE/COM) (873333)
|
|
VSantivirus No. 1678 Año 9, miércoles 9 de febrero de 2005
MS05-012 Ejecución remota de código (OLE/COM) (873333)
http://www.vsantivirus.com/vulms05-012.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Se ha detectado un problema de seguridad en COM (Modelo de Objetos Componentes), y OLE (Vinculación e Incrustación de Objetos), que podría permitir a un usuario malintencionado poner en peligro un sistema basado en Windows y hacerse con el control del mismo.
Nivel de gravedad: Crítica
Impacto: Ejecución remota de código
Fecha publicación: 8 de febrero de 2005
Software afectado:
- Microsoft Windows 2000 Service Pack 3
- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 1
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
- Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 for Itanium-based Systems
- Microsoft Exchange 2000 Server Service Pack 3
- Microsoft Exchange Server 2003
- Microsoft Exchange Server 2003 Service Pack 1
- Microsoft Exchange Server 5.0 Service Pack 2
- Microsoft Exchange Server 5.5 Service Pack 4
- Microsoft Windows 98
- Microsoft Windows 98 Second Edition (SE)
- Microsoft Windows Millennium Edition (ME)
- Microsoft Office XP Service Pack 3
- Microsoft Office XP Service Pack 2
- Microsoft Office 2003 Service Pack 1
Nota: Cualquier aplicación que utilice componentes Windows OLE (Object Linking and Embedding, Incrustación y vinculación de Objetos, una técnica de programación mediante la cual los programas Compatibles OLE pueden transferir y compartir datos), puede ser vulnerable a este problema. La lista del software afectado solo muestra el factor de ataque más común. Se recomienda la instalación inmediata de este parche para bloquear todos los vectores de ataque.
Boletines reemplazados
Estos parches reemplazan las actualizaciones de los siguientes boletines:
Falla en servicio RPC Endpoint Mapper causa D.o.S.
http://www.vsantivirus.com/vulms03-010.htm
Vulnerabilidad RPC/DCOM: MS03-026
http://www.vsantivirus.com/vulms03-026-027-028.htm
MS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htm
Descripción
Estos parches solucionan dos vulnerabilidades recientemente descubiertas y reportadas públicamente.
Existe una vulnerabilidad de elevación de privilegios en la manera que los sistemas operativos afectados y los programas acceden a la memoria cuando procesan estructuras de archivos COM. Esta vulnerabilidad puede permitir al usuario logeado en el sistema, tomar el control total del mismo.
El atacante debe tener credenciales válidas para logearse al sistema en forma local para explotar esta vulnerabilidad. La misma no puede ser explotada en forma remota o por usuarios anónimos.
El almacenamiento estructurado de archivos COM, permite múltiples clases de objetos en un mismo documento.
COM (Modelo de Objetos Componentes), es un modelo de programación orientada a objetos que define cómo interactúan los mismos con una aplicación determinada o entre distintas aplicaciones.
La segunda vulnerabilidad se relaciona con el método de vinculación e incrustación de objetos (OLE). Dicha vulnerabilidad permite la ejecución remota de código, y se produce por la manera que se valida la entrada de datos. Un atacante puede explotar esta vulnerabilidad construyendo un documento malicioso que potencialmente pueda llevar a la ejecución de código.
OLE (Object Linking and Embedding), es un método para compartir información entre las aplicaciones. La vinculación de un objeto, como un gráfico, de un documento a otro inserta una referencia al objeto en el segundo documento. Los cambios que se hagan al objeto del primer documento se reflejarán también en el segundo documento. La incrustación de un objeto inserta una copia de un objeto de un documento en otro documento. Los cambios que se hagan en el objeto del primer documento no se actualizarán en el segundo a menos que el objeto incrustado se actualice expresamente.
Si el usuario actual tiene privilegios administrativos, un atacante podrá tomar el control total del sistema afectado, incluyendo la instalación de programas; visualizar, cambiar o borrar información; o crear nuevas cuentas con todos los privilegios. Sin embargo, se requiere cierta interacción del usuario para explotar esta vulnerabilidad en Windows 2000, Windows XP, y Windows Server 2003.
Si el usuario actual no posee esos privilegios, el atacante también verá restringidas sus acciones.
En un escenario de ataque basado en un sitio web malicioso, el atacante debe obligar al usuario a aceptar determinadas acciones luego de pulsar en un enlace.
Para que un ataque vía correo electrónico tenga éxito, el usuario debe abrir un archivo adjunto conteniendo un objeto OLE malicioso (se recomienda no aceptar adjuntos no solicitados, o de fuentes no confiables).
En el caso de usuarios corporativos, se recomienda bloquear archivos cuyo contenido sea "application/ms-tnef MIME" (archivo Winmail.dat en Exchange).
MS-TNEF (Microsoft TNEF encoded e-mails) comúnmente conocido como "Rich Text Formatted e-mail", puede contener objetos OLE maliciosos. Estos mensajes contienen un adjunto usualmente llamado "Winmail.dat" que almacena la información TNEF.
Descargas:
Las actualizaciones pueden descargarse de los siguientes enlaces:
Microsoft Windows 2000 SP3 y Microsoft Windows 2000 SP4
Actualización de seguridad para Windows 2000 (KB873333)
http://www.microsoft.com/downloads/details.aspx?familyid=
84B4F65E-39D5-4521-B692-051F76F2492E&displaylang=es
Microsoft Windows XP SP1 y Microsoft Windows XP SP2
Actualización de seguridad para Windows XP (KB873333)
http://www.microsoft.com/downloads/details.aspx?familyid=
A0E59D77-8AC1-4AC0-9572-A7E1C2E4A66A&displaylang=es
Microsoft Windows Server 2003
Actualización de seguridad para Windows Server 2003 (KB873333)
http://www.microsoft.com/downloads/details.aspx?familyid=
83B97ECE-0010-443E-9353-82FFCAF73771&displaylang=es
Descarga para otros productos:
www.microsoft.com/technet/security/bulletin/ms05-012.mspx
Nota:
Antes de instalar esta actualización, por favor verifique que el software que se menciona tenga instalado los Service Pack a los que se hace referencia. En caso contrario la aplicación puede fallar o ejecutarse de manera incorrecta.
Más información:
Microsoft Security Bulletin MS05-012
www.microsoft.com/technet/security/bulletin/ms05-012.mspx
Microsoft Knowledge Base Article - 873333
http://support.microsoft.com/?kbid=873333
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|