lunes, 16 de julio de 2001

Un control ActiveX deja vulnerable a Outlook

El control Microsoft Outlook View es un control ActiveX que permite la
visualización de las carpetas de correo Outlook como páginas web. El
control sólo debe permitir operaciones pasivas como la visualización del
correo o los datos del calendario. Pero en realidad existe una función
en este control que permite a la página web manipular los datos Outlook.
Esto permitirá a un atacante borrar correo, cambiar la información del
calendario, o llevar a cabo cualquier otra acción a través de Outlook
incluyendo la ejecución de código arbitrario en la máquina del usuario.
Los sitios web maliciosos exponen el mayor riesgo respecto a esta
vulnerabilidad. Si un usuario visita una página web controlada por un
atacante un script en la página podrá llamar al control cuando la página
se abra, en ese momento el script empleará el control para llevar a cabo
cualquier acción deseada sobre los datos Outlook del usuario.

El atacante puede intentar reproducir el efecto desde un e-mail html
enviado al usuario. En este e-mail se efectua la llamada al control de
igual forma que a través de una página web, sin embargo, si se encuantra
instalado el Outlook E-mail Security Update se detendrá esta forma de
ataque. Ya que esta actualización hace que los e-mails html se abran en
la zona de sitios restringidos (Restricted Sites Zone), donde los
controles ActiveX se inhabilitan por defecto.

Microsoft está desarrollando un parche para paliar los efectos de esta
vulnerabilidad. Mientras que el parche está en desarrollo se recomienda
inhabilitar los controles ActiveX controls en la Zona Internet para
protegerse contra el ataque descrito anteriormente. Mediante políticas
de grupo (Group Policy) se puede hacer que este cambio de configuración
se realice en toda la red automáticamente.

Se recomienda la instalación de Outlook E-mail Security Update en caso
de que no se haya instalado previamente.



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft (MS01-038):
http://www.microsoft.com/technet/security/bulletin/MS01-038.asp

Aviso de Guninski:
http://www.guninski.com/vv2xp.html