En esta ocasión las puertas traseras se encuentran en los nuevos
modelos HP Pavilion que incluyen Windows 98. Se ha detectado que
en la configuración por defecto se instalan dos controles Active-X,
extremadamente peligrosos, que permiten acceder y ejecutar programas
en los ordenadores de los clientes a través de páginas web o correo HTML.
De manera similar a como ocurría con los Compaq Presario, (ver una-al-dia
del 31-7-1999), los controles Active-X, desarrollados por SystemSoft, se
incluyen en los sistemas HP como parte de un paquete de diagnóstico del
sistema denominado SystemWizard. En teoría, ambos controles sólo deberían
utilizarse para los diagnósticos del sistema, pero se ha demostrado
que con unas sencillas líneas en javascript se pueden lograr fines
totalmente diferentes:
-Pueden instalar un troyano o infectar el sistema con un virus de forma
automática y sin conocimiento por parte del usuario.
-Desactivar todas las protecciones de seguridad del sistema, lo que
facilita ataque posteriores.
-Leer cualquier fichero del sistema y enviarlo a un sitio remoto de forma
transparente al usuario.
-Borrar ficheros y documentos, incluso formatear el disco duro.
Los controles pueden ser utilizados desde una página Web o correo en HTML,
y para llamarlos basta con incluir una etiqueta con los parámetros
adecuados dentro del código HTML. Sin duda, es difícil dar más facilidades
que puedan permitir el control de un sistema de forma remota y a la vez
tan sencilla. El control Launch permite, por ejemplo a través de JavaScript,
ejecutar comandos DOS y programas Windows, e incluye la posibilidad de
pasarles parámetros. Mediante el otro control en discordia, RegObj, se
consigue leer, buscar y configurar las claves del registro de Windows.
Todo parece indicar que estos casos son solo la punta del iceberg, y que
en realidad la mayoría de los sistemas preinstalados, por una u otra causa,
incluyen controles Active-X o applets Java peligrosos para la integridad
de sus sistemas. Uno de los últimos casos más sonados vino de la mano
de Microsoft, que en la instalación del Internet Explorer 5 incluía el
control DHTML Edit, Active-X con el que se podían acceder de forma remota
a nuestros ficheros. Desgraciadamente, a día de hoy, son muchos los
usuarios que aun mantienen el control en sus sistemas sin la pertinente
actualización a la última versión del navegador que corrige el problema.
Active-X, y algunos applets, basan su seguridad en los certificados de
autentificación (Authenticode de Microsoft) a través de los cuales los
usuarios deciden si son confiables y, por tanto, los ejecutan en su
ordenador. Hasta aquí resultaba una forma efectiva de dejar toda la
responsabilidad en manos el usuario, ya que decidía en última instancia
si lo ejecutaba o no.
El problema es que los fabricantes, en los sistemas preinstalados, y sin
dar pie a que el usuario decida, hacen confiables de antemano ciertos
controles porque lo utilizan como parte de sus soluciones. Para colmo
de males, resulta que son esos controles, que el usuario no ha hecho
confiables, los que pueden causar daños irreparables.
Más información:
Puertas traseras en Compaq Presario: http://www.hispasec.com/unaaldia.asp?id=278
Active-X en Windows98: http://www.tiac.net/users/smiths/acctroj/index.htm
Bug en DHTML Edit Active-X: http://www.microsoft.com/security/bulletins/ms99-011.asp
Parches para los controles de SystemSoft: http://www.systemsoft.com/support/syswiz/index.htm
Deja un comentario