El CERT ha anunciado la existencia de una importante
vulnerabilidad de Internet Explorer y que afecta al sistema
utilizado por la ayuda online de Windows. En el momento de
redactar este boletín no existe todavía ninguna actualización que
corrija este problema, a pesar de que están circulando algunos
exploits que se aprovechan de la misma. Debido a que la
vulnerabilidad se encuentra en el sistema de ayuda de Windows,
esta vez incluso aquellos usuarios que no utilizan Internet
Explorer o Microsoft Outlook son también vulnerables.
Microsoft Internet Explorer no valida de forma correcta el origen
del script que forma parte de los archivos CHM (Compiled Help)
cuando éstos son procesados por los manejadores del protocolo ITS
(Microsoft InfoTech Storage), que es el sistema utilizado por la
ayuda online de Windows.
Las ayudas de Windows son una serie de archivos compilados donde
están integrado el código fuente HTML, gráfico y, opcionalmente,
scripts, controles ActiveX, funciones Java… Para la visualización
de estas ayudas se utiliza Internet Explorer mediante la
invocación de una URL con los protocolos its://, ms-its://, ms-
itss:// o mhtml:// (entre otros).
El problema consiste en que Internet Explorer no aplica
correctamente la protección de zona que impide la ejecución de
código en páginas ubicadas en páginas remotas. Si se le pasa a
Internet Explorer una URL del tipo mhtml:// que apunta a un
archivo no existente, se puede forzar la ejecución de un archivo
CHM remoto que contiene código hostil y que será ejecutado como
si fuera un archivo local.
La vulnerabilidad puede, por tanto, ser explotada mediante la
visita a una página web o al visualizar un mensaje que contenga el
código que se aprovecha de la vulnerabilidad y que provocará la
ejecución automática del código asociado dentro de la zona local.
Lo que significará que se ejecutará con los mismos privilegios
del usuario activo en el sistema.
Es importante señalar que incluso aquellos usuarios de Windows
que no utilicen Internet Explorer como navegador pueden verse
afectados por este problema. Debido a que, en la configuración
por defecto, el sistema operativo asocia Internet Explorer como
aplicación que gestiona este protocolo, el acceso a un enlace que
utilice este protocolo provocará la ejecución del mismo. La forma
más fácil de determinar la aplicación asociada al protocolo
consiste en ejecutar una URL del tipo mthtml://localhost a través
del menú Inicio->Ejecutar.
Gusanos que sacan provecho de esta vulnerabilidad
Las características de esta vulnerabilidad, que permite la
ejecución de código simplemente visitando una página web con una
versión vulnerable de Internet Explorer, lo hacen especialmente
atractivo como sistema para la infección y propagación de
gusanos. En estos momentos tenemos constancia de la existencia de
diversos gusanos que utilizan esta vulnerabilidad como mecanismo
de distribución.
Ya son varios los programas antivirus que detectan e identifican
las páginas que contienen el código que aprovecha la
vulnerabilidad. Por ejemplo, una página HTML que contiene el
exploit ya es identificada por diversos antivirus, tal como
podemos determinar según el sistema de monitorización
24hx7d del laboratorio de Hispasec, son los siguientes:
Sybari :: [Exploit.HTML.Mht]
eTrustAV-Inoc :: No detectado
NOD32 :: [HTML/Exploit.Mht.A]
Kaspersky :: [Exploit.HTML.Mht]
Symantec :: [Bloodhound.Exploit.6]
Panda :: [Exploit/MIE.CHM]
McAfee :: No detectado
Sophos :: No detectado
TrendMicro :: No detectado
eTrustAV-Inoc :: No detectado
Los archivos CHM que incluyen la vulnerabilidad también son
identificados por diversos antivirus:
Sybari :: [TrojanDownloader.VBS.Psyme.p]
eTrustAV-Inoc :: No detectado
NOD32 :: No detectado
Kaspersky :: [TrojanDownloader.VBS.Psyme.p]
McAfee :: [VBS/Psyme]
Symantec :: [Download.Trojan]
Panda :: No detectado
Sophos :: No detectado
TrendMicro :: No detectado
En el caso del exploit incluido en un archivo CHM, Sybari,
Kaspersky, McAfee y Symantec detectan la presencia del código
malévolo.
Prevención
Microsoft no ha publicado todavía ninguna actualización que
corrija este problema, por lo que la única forma de evitar la
infección consiste en desactivar el manejador del protocolo. Para
ello es preciso renombrar las siguientes claves del registro,
dentro de HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
ms-its
ms-itss
its
mk
Es importante indicar que realizar este cambio puede tener un
impacto en el funcionamiento del sistema de ayuda de Windows.
Otra forma de detectar las páginas vulnerables consiste en
disponer de un programa antivirus convenientemente actualizado
que reconozca los intentos de utilización de esta vulnerabilidad.
xavi@hispasec.com
Deja una respuesta