• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Nueva vulnerabilidad en el sistema de ayuda de Windows

Nueva vulnerabilidad en el sistema de ayuda de Windows

9 abril, 2004 Por Hispasec Deja un comentario

El CERT ha anunciado la existencia de una importante
vulnerabilidad de Internet Explorer y que afecta al sistema
utilizado por la ayuda online de Windows. En el momento de
redactar este boletín no existe todavía ninguna actualización que
corrija este problema, a pesar de que están circulando algunos
exploits que se aprovechan de la misma. Debido a que la
vulnerabilidad se encuentra en el sistema de ayuda de Windows,
esta vez incluso aquellos usuarios que no utilizan Internet
Explorer o Microsoft Outlook son también vulnerables.

Microsoft Internet Explorer no valida de forma correcta el origen
del script que forma parte de los archivos CHM (Compiled Help)
cuando éstos son procesados por los manejadores del protocolo ITS
(Microsoft InfoTech Storage), que es el sistema utilizado por la
ayuda online de Windows.

Las ayudas de Windows son una serie de archivos compilados donde
están integrado el código fuente HTML, gráfico y, opcionalmente,
scripts, controles ActiveX, funciones Java… Para la visualización
de estas ayudas se utiliza Internet Explorer mediante la
invocación de una URL con los protocolos its://, ms-its://, ms-
itss:// o mhtml:// (entre otros).

El problema consiste en que Internet Explorer no aplica
correctamente la protección de zona que impide la ejecución de
código en páginas ubicadas en páginas remotas. Si se le pasa a
Internet Explorer una URL del tipo mhtml:// que apunta a un
archivo no existente, se puede forzar la ejecución de un archivo
CHM remoto que contiene código hostil y que será ejecutado como
si fuera un archivo local.

La vulnerabilidad puede, por tanto, ser explotada mediante la
visita a una página web o al visualizar un mensaje que contenga el
código que se aprovecha de la vulnerabilidad y que provocará la
ejecución automática del código asociado dentro de la zona local.
Lo que significará que se ejecutará con los mismos privilegios
del usuario activo en el sistema.

Es importante señalar que incluso aquellos usuarios de Windows
que no utilicen Internet Explorer como navegador pueden verse
afectados por este problema. Debido a que, en la configuración
por defecto, el sistema operativo asocia Internet Explorer como
aplicación que gestiona este protocolo, el acceso a un enlace que
utilice este protocolo provocará la ejecución del mismo. La forma
más fácil de determinar la aplicación asociada al protocolo
consiste en ejecutar una URL del tipo mthtml://localhost a través
del menú Inicio->Ejecutar.

Gusanos que sacan provecho de esta vulnerabilidad

Las características de esta vulnerabilidad, que permite la
ejecución de código simplemente visitando una página web con una
versión vulnerable de Internet Explorer, lo hacen especialmente
atractivo como sistema para la infección y propagación de
gusanos. En estos momentos tenemos constancia de la existencia de
diversos gusanos que utilizan esta vulnerabilidad como mecanismo
de distribución.

Ya son varios los programas antivirus que detectan e identifican
las páginas que contienen el código que aprovecha la
vulnerabilidad. Por ejemplo, una página HTML que contiene el
exploit ya es identificada por diversos antivirus, tal como
podemos determinar según el sistema de monitorización
24hx7d del laboratorio de Hispasec, son los siguientes:

Sybari :: [Exploit.HTML.Mht]
eTrustAV-Inoc :: No detectado
NOD32 :: [HTML/Exploit.Mht.A]
Kaspersky :: [Exploit.HTML.Mht]
Symantec :: [Bloodhound.Exploit.6]
Panda :: [Exploit/MIE.CHM]
McAfee :: No detectado
Sophos :: No detectado
TrendMicro :: No detectado
eTrustAV-Inoc :: No detectado

Los archivos CHM que incluyen la vulnerabilidad también son
identificados por diversos antivirus:

Sybari :: [TrojanDownloader.VBS.Psyme.p]
eTrustAV-Inoc :: No detectado
NOD32 :: No detectado
Kaspersky :: [TrojanDownloader.VBS.Psyme.p]
McAfee :: [VBS/Psyme]
Symantec :: [Download.Trojan]
Panda :: No detectado
Sophos :: No detectado
TrendMicro :: No detectado

En el caso del exploit incluido en un archivo CHM, Sybari,
Kaspersky, McAfee y Symantec detectan la presencia del código
malévolo.

Prevención

Microsoft no ha publicado todavía ninguna actualización que
corrija este problema, por lo que la única forma de evitar la
infección consiste en desactivar el manejador del protocolo. Para
ello es preciso renombrar las siguientes claves del registro,
dentro de HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler

ms-its
ms-itss
its
mk

Es importante indicar que realizar este cambio puede tener un
impacto en el funcionamiento del sistema de ayuda de Windows.

Otra forma de detectar las páginas vulnerables consiste en
disponer de un programa antivirus convenientemente actualizado
que reconozca los intentos de utilización de esta vulnerabilidad.

Xavier Caballé
xavi@hispasec.com

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • Campañas de phishing utilizan Flipper Zero como cebo
  • USB Killer, el enchufable que puede freir tu equipo
  • Tamagotchi para hackers: Flipper Zero

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR