martes, 19 de septiembre de 2006

Contramedidas prácticas para las últimas vulnerabilidades de Microsoft

Desde estas líneas hemos advertido ya en muchas ocasiones sobre las nuevas tendencias del malware y la cada vez más preocupante aparición de vulnerabilidades "0 day" o problemas de seguridad para los que no existe parche pero sí forma de aprovecharlos. En estos momentos se conocen tres que afectan a productos de Microsoft. Cansados de ofrecer una descripción más o menos rutinaria de las vulnerabilidades, en esta ocasión nos centraremos en cómo mitigar sus efectos o eliminarlos por completo. Como siempre, sin demasiado esfuerzo y sin esperar pasivamente parches, es posible minimizar el riesgo.

Es un hecho que los creadores de malware programan la aparición de vulnerabilidades estratégicamente para que Microsoft no pueda publicar un parche los días previstos (los segundos martes de cada mes). Intentan así maximizar el impacto de sus códigos. De hecho, ahora mismo se le acumula el trabajo y Microsoft mantiene tres vulnerabilidades críticas sin parchear, aunque el día 12 tuvo la oportunidad de hacerlo por lo menos en una de las que a continuación se describen. Ante esta ausencia de actualizaciones, casi siempre es posible aplicar sencillas contramedidas que permitan a los usuarios de estos productos sentirse un poco más seguros.

La primera vulnerabilidad fue descubierta el día 5 de septiembre.
Se advirtió que circulaba un documento en formato Word que, al abrirse con Office 2000, permitía la ejecución de código arbitrario. Esta vulnerabilidad supone el último problema de una larga lista que sufre la suite ofimática desde hace meses. El fallo pudo ser corregido el día 12 de septiembre, pero Microsoft no lo hizo y no se prevé que aparezca un parche hasta al menos el día 10 de octubre. Para este problema, una de las soluciones es utilizar el visualizador de Microsoft, Viewer 2003. Esta herramienta de 12 megas permite visualizar (pero no editar) los documentos de los que sospechemos. Otra solución posible es utilizar la alternativa libre y gratuita OpenOffice.org, por ahora (y hasta que por volumen de usuarios suponga un jugoso objetivo), libre de tantas vulnerabilidades descubiertas.

El segundo problema de seguridad "0 day" afecta a Internet Explorer. Fue descubierto el día 13 de septiembre, y se publicó directamente la forma de explotarlo, aunque no parece que está siendo aprovechado de forma masiva. El fallo afecta al control ActiveX daxctle.ocx. Para solventar este problema es posible deshabilitar la actividad del control en el navegador, inhabilitándolo desde el registro para que Internet Explorer no pueda instanciarlo.

Esto se consigue guardando el siguiente texto en un archivo con extensión .reg y ejecutándolo con privilegios de administrador:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX
Compatibility\{D7A7D7C3-D47F-11D0-89D3-00A0C90833E6}]
"Compatibility Flags"=dword:00000400

ISC SANS ha puesto a disposición de todos una herramienta automática que realiza la misma acción. Los enlaces están más abajo.

Por último, el día 18 de septiembre se ha descubierto otro grave problema de seguridad en Internet Explorer que está siendo aprovechado de forma activa y permite la ejecución de código. El problema está basado en la funcionalidad VML (Vector Markup Language) del navegador. Esta vulnerabilidad se puede mitigar deshabilitando JavaScript de las zonas en las que no se confía.

Para deshabilitar todo control ActiveX o JavaScript cómodamente, se debe ir a la pestaña de "seguridad" desde las "opciones de Internet" y elevar a "alta" la seguridad de la zona "Internet". Esto permite que por defecto, todas las páginas se visiten sin JavaScript o ActiveX, acción que eleva sustancialmente la seguridad del navegador. Si alguna página de confianza deja de funcionar o no se puede interactuar con ella de forma adecuada, basta con incluir su dirección en los "sitios de confianza".

Este sencillo mecanismo para diferenciar el comportamiento del navegador según las páginas es poco utilizado pero muy útil en una aplicación tan "atacada" como Internet Explrer. Microsoft puede presumir de haber incluido esta característica de serie en el navegador desde sus primeras versiones. Opera no lo ha hecho hasta su versión 9 y Firefox permite desactivar JavaScript selectivamente según dominios a través de la extensión NoScript. Esta extensión resulta imprescindible, pues Firefox también ha sufrido graves y numerosos problemas de seguridad disparados a través de este lenguaje.

Por supuesto, muchos antivirus también protegen del intento de
aprovechar estas vulnerabilidades, pero las actualizaciones y firmas no
siempre están disponibles a tiempo.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Killbit apps for current IE Exploit
http://isc.sans.org/diary.php?storyid=1706&rss

Word Viewer 2003
http://www.microsoft.com/downloads/details.aspx?familyid=95E24C87-8732-48D5-8689-AB826E7B8FDF&displaylang=es

Vulnerability in the Microsoft DirectAnimation Path ActiveX Control
Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/925444.mspx

Vulnerability in Word Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/925059.mspx

Seen in the wild: Zero Day exploit being used to infect Pcs
http://sunbeltblog.blogspot.com/2006/09/seen-in-wild-zero-day-exploit-being.html