Los archivos de ayuda de Windows NT 4.0 pueden convertirse en un
aliado para que un atacante tome el control del sistema. Si se
modifican adecuadamente pueden servir para esconder troyanos,
virus o simples puertas de entrada al ordenador.
El sistema de ayuda de Windows emplea los archivos .cnt como
tabla de contenidos de los archivos .hlp y de esta forma crear el
archivo .gid que es imprescindible para ver la tabla de
contenidos del hlp.
Si se borra el archivo .gid anteriormente creado y se procede a
la edición del archivo .cnt correspondiente se puede modificar un
tema para que ejecute cualquier programa en vez de visualizar el
archivo de ayuda para ese tema. Cuando el usuario víctima haga
uso de la ayuda y elija el tema infectado el sistema de ayuda
ejecutará el programa indicado.
Por otra parte, la etiqueta del título en los archivos cnt tiene
un tipo de desbordamiento de buffer. El buffer en este caso es de
256 bytes y se dispara el error cuando se abre el archivo gid
creado a partir del .cnt malicioso.
Para probar el problema de los .cnt se pueden seguir los
siguientes pasos:
1) Eliminar C:\Program Files\Microsoft Office\Office\WDMAIN8.GID
2) Editar el archivo de texto C:\Program Files\Microsoft
Office\Office\WDMAIN8.CNT. Se debe modificar la línea que dice
3 Lo nuevo en Microsoft Word
97=woidxWhatsNewInMicrosoftWord97@wdnew8.hlp>ref
Por:
3 Lo nuevo en Microsoft Word 97=!EF(«CMD.EXE»,»»,1)
4) Ejecutar Word y seleccionar ?|Contenido e Indice en la barra
de menú.
5) Buscar el tema » Lo nuevo en Microsoft Word 97″ y
seleccionarlo.
6) En ese momento se deberá abrir una ventana del cmd.exe.
Si se tiene un sistema multiusuario será necesario proteger todos
los archivos .hlp y .cnt de la misma forma que si se tratarán de
archivos .exe. Si se tiene alguna preocupación por los archivos
.gid, se deberá de abrir el archivo .hlp asociado, seleccionar la
opción Buscar, crear la base de datos, y tras ello asegurarla de
forma conveniente.
Más información:
NT Security
SecurityFocus
antonior@hispasec.com
Deja una respuesta