El 16-7-2001 Hispasec informó de una vulnerabilidad en Outlook a
través de un control Active X, por la cual un atacante podría borrar
correo, cambiar la información del calendario, o llevar a cabo
cualquier otra acción a través de Outlook incluyendo la ejecución
de código arbitrario en la máquina del usuario.
En el momento de publicar la información original Microsoft sólo ofrecía
la posibilidad de establecer una contramedida mientras se desarrollaba
el parche adecuado. Tras dicho desarrollo ofrece el parche que cubre
esta vulnerabilidad.
El control Microsoft Outlook View es un control ActiveX que permite la
visualización de las carpetas de correo Outlook como páginas web. El
control sólo debe permitir operaciones pasivas como la visualización del
correo o los datos del calendario. Pero en realidad existe una función
en este control que permite a la página web manipular los datos Outlook.
Esto permitirá a un atacante borrar correo, cambiar la información del
calendario, o llevar a cabo cualquier otra acción a través de Outlook
incluyendo la ejecución de código arbitrario en la máquina del usuario.
Los sitios web maliciosos exponen el mayor riesgo respecto a esta
vulnerabilidad. Si un usuario visita una página web controlada por un
atacante un script en la página podrá llamar al control cuando la página
se abra, en ese momento el script empleará el control para llevar a cabo
cualquier acción deseada sobre los datos Outlook del usuario.
El atacante puede intentar reproducir el efecto desde un e-mail html
enviado al usuario. En este e-mail se efectúa la llamada al control de
igual forma que a través de una página web, sin embargo, si se encuentra
instalado el Outlook E-mail Security Update se detendrá esta forma de
ataque. Ya que esta actualización hace que los e-mails html se abran en
la zona de sitios restringidos (Restricted Sites Zone), donde los
controles ActiveX se inhabilitan por defecto.
El parche para evitar esta vulnerabilidad en Outlook 2000 se puede
descargar de:
http://office.microsoft.com/downloads/2000/outlctlx.aspx
Para Outlook 2002 en:
http://office.microsoft.com/downloads/2002/OLK1003.aspx
Microsoft no ofrece soporte para Outlook 98 por lo cual ya no publica
parches para este software. Se recomienda actualizar a una versión más
reciente o inhabilitar los controles ActiveX controls en la Zona
Internet para protegerse contra el ataque descrito anteriormente.
antonior@hispasec.com
Más información:
Boletín de seguridad Microsoft (MS01-038):
http://www.microsoft.com/technet/security/bulletin/MS01-038.asp
una-al-dia (16/07/2001) Un control ActiveX deja vulnerable a Outlook
http://www.hispasec.com/unaaldia.asp?id=995
Aviso de Guninski:
http://www.guninski.com/vv2xp.html
Deja una respuesta