Entre la pléyade de boletines de seguridad que ha publicado este
mes Microsoft, una de las que inicialmente puede pasar
desapercibida es la que se encuentra en el soporte de los
archivos .ZIP en diferentes versiones de Windows y que puede ser
utilizada para tomar el control de los sistemas vulnerables.
Los sistemas operativos Windows ME, Windows XP y Windows Server
2003 dan soporte de forma nativa a la visualización del contenido
de los archivos comprimidos en formato .ZIP. Cuando se accede a
los mismos a través del explorador de Windows, éstos aparecen y
son tratados como si se trataran de carpetas.
En agosto del presente año se descubrió la existencia de una
vulnerabilidad de desbordamiento de búfer en el módulo del
sistema operativo encargado de dar soporte de los archivos
comprimidos ZIP. El desbordamiento se produce cuando dentro del
archivo ZIP existe un archivo cuyo nombre, incluyendo
directorios, supera los 32768 caracteres. Este desbordamiento
puede ser utilizado de forma malévola para sobrescribir el
controlador de excepciones del sistema operativo y modificar el
contenido del EIP (puntero a la siguiente instrucción) del
procesador.
Como resultado, un atacante que logre convencer al usuario de que
abra un archivo ZIP especialmente preparado, podrá aprovecharse
de esta vulnerabilidad para tomar el control de los equipos
vulnerables.
Indicar, por último, que según Microsoft ésta vulnerabilidad
únicamente afecta a Windows XP, Windows XP con Service Pack 1 y
Windows Server 2003. eEye, en cambio, indica que la
vulnerabilidad se encuentra en Windows XP y Windows ME.
xavi@hispasec.com
Más información:
Windows Shell ZIP File Decompression DUNZIP32.DLL Buffer Overflow
Vulnerability
http://www.eeye.com/html/research/advisories/AD20041012A.html
Vulnerability in Compressed (zipped) Folders Could Allow Remote
Code Execution
http://www.microsoft.com/technet/security/bulletin/MS04-034.mspx
