Hacía tiempo ya que no teníamos noticias por parte de Juan
Carlos García Cuartango, que en los últimos meses había
perdido terreno con respecto a su «rival» en la caza de
agujeros, el búlgaro Georgi Guninski… pero el español no
se podía hacer esperar mucho más, y acaba de sorprendernos
con el descubrimiento de un gravísimo fallo de seguridad
que afecta a las versiones conocidas de Outlook y Outlook
Express, los conocidos clientes de correo de Microsoft para
Windows9x/NT.
Esta nueva vulnerabilidad permite la ejecución de cualquier
programa tras abrir, por medio de doble click, un fichero
adjunto de carácter multimedia (GIF, MID, MOV, WAV…), ya
que éstos no muestran el diálogo de usuario que alerta
acerca de la posibilidad de contraer un virus, troyano, o,
en general, código de índole maligna que pueda afectar a
nuestro equipo, de manera que tampoco se consultará, como
de costumbre, si el fichero debe ser abierto o guardado en
el disco duro o cualquier unidad dispuesta por el usuario.
El fichero adjunto sería, en realidad, el resultado de
comprimir un ejecutable en un archivo CAB y posteriormente
renombrar su extensión a la de un formato multimedia de
cualquier tipo, como puede ser «MID». Así, Outlook Express
crea, por defecto, una copia del fichero adjunto con el
mismo nombre en los directorios temporales (C:\WINDOWS\TEMP
en Windows9x y C:\TEMP en WindowsNT), permitiendo de esta
manera la posterior ejecución de dicho fichero a través de
código escrito en JavaScript y embebido en el e-mail
portador del attach, por medio del componente ActiveX
destinado a la instalación de software, más conocido como
«Active Setup Component».
Lo realmente peligroso de este agujero es el hecho de que,
a partir de este momento, cualquier virus podría llegar a
nuestra máquina, por ejemplo, con la apariencia de un
inocente fichero de tipo WAV adjunto a un mensaje de correo
que, de la misma manera que los i-worms y otros gusanos de
Outlook, podría estar presuntamente firmado por un usuario
de nuestra confianza. Así, el usuario que recibiese este
e-mail, sin sospechar en ningún momento de la naturaleza
real del attach, ejecutaría el fichero adjunto por medio de
un doble click, dispuesto a escuchar la melodía, y habrá
posibilitado, sin saberlo, la ejecución de un virus, sin que
ninguna alerta le hubiese advertido de lo que realmente
estaba sucediendo en su ordenador. Como resulta obvio, se
trata de un filón que, convenientemente explotado por virus
o gusanos, podría acarrear macroinfecciones de carácter
apriorístico de aún más extensión que las provocadas por el
famoso virus «Melissa».
El propio Cuartango, quien confirmó la vulnerabilidad a
HispaSec, recomienda modificar la localización de los
directorios temporales, definida en las variables %TEMP% y
%TMP%, de manera que apunten a otros directorios que un
potético atacante no pudiese predecir, impidiendo así la
ejecución de los ficheros adjuntos por medio de JavaScript,
al desconocer su ubicación real en la máquina del usuario
afectado. Otra solución, ya típica en estos casos, y a la
espera del parche proporcionado por Microsoft y prometido
para mañana mismo, pasa por, una vez más, deshabilitar la
ejecución de comandos JavaScript.
Más información:
Bugtraq (MS Outlook Alert, Cuartango Active Setup)
talvanti@hispasec.com
Bernardo Quintero
bernardo@hispasec.com
