La historia se repite, el búlgaro Georgi Guninski vuelve a descubrir
un nuevo agujero en las aplicaciones Internet de Microsoft. En esta
ocasión la brecha de seguridad permite ejecutar programas de forma
arbitraria en el sistema del usuario con tan sólo visualizar una
página web o un mensaje de correo HTML.
El problema se encuentra en el objeto com.ms.activeX.ActiveXComponent,
destinado a incluir controles ActiveX en las aplicaciones Java, que
permite crear y ejecutar objetos ActiveX incluyendo los que no están
marcados como seguros.
Guninski ofrece algunos ejemplos en línea de esta vulnerabilidad en
los que consigue escribir un script (EA.HTA) en la carpeta Startup
del sistema que visualice su página web con Internet Explorer. Así,
la próxima vez que el usuario inicie el sistema, el script se
ejecutará de forma automática y llevará a cabo las acciones que
incluya en su interior.
En el caso de la demostración el script se limita a mostrar un simple
mensaje, pero esta técnica podría utilizarse de forma efectiva para
cualquier otra acción, como el borrado de datos, la instalación de
puertas traseras, o el robo de información sensible, entre otras.
Guninski ha conseguido también explotar esta vulnerabilidad en
Outlook, mediante la utilización de Java consigue burlar las
restricciones que instaura el “Security Update” de Microsoft destinado
a parar los scripts dañinos en su cliente de correo.
De momento Microsoft no se ha pronunciado al respecto, por lo que la
única solución pasa por desactivar la ejecución de scripts (archivos
de comandos) o, como recomienda Guninski, llegar al extremo de
configurar Internet Explorer para no permitir la ejecución de
cualquier contenido activo.
bernardo@hispasec.com
Más información:
IE 5.5/Outlook security vulnerability
com.ms.activeX.ActiveXComponent allows executing arbitrary programs
http://www.guninski.com/javaea.html
Deja un comentario