Se ha publicado una prueba de concepto para una de las vulnerabilidades parcheadas este último martes, en el ciclo habitual de actualizaciones de Microsoft. En menos de 24 horas tras hacer público el parche correspondiente, ha aparecido este exploit que permite la ejecución de código con solo visitar una página web con Internet Explorer bajo Windows 2000.
Solo han necesitado 24 horas para analizar el parche (sin detalles conocidos hasta el día de su publicación) y crear una prueba de concepto funcional que permite la ejecución de código. El boletín es el MS07-051, que resuelve un fallo en la forma en que Microsoft Agent maneja ciertas URLs especialmente manipuladas. Si se aprovecha mientras se navega con privilegios de administrador, el atacante podría tomar completo control del sistema. Sólo afecta a Windows 2000. Este boletín reemplaza al MS07-020 que apareció en abril.
Microsoft Agent, curiosamente, es un componente que se encarga de controlar los caracteres animados interactivos de ayuda que presenta el sistema operativo. En una palabra, es el componente responsable del (generalmente odiado) «Clippy», ese molesto y enervante clip animado que acompañó algunos años a la suite Microsoft Office, para finalmente ser «enterrado» en la versión de 2007.
La prueba de concepto ha sido publicada por alguien que posee un correo brasileño. Este fallo ha sido el único clasificado como crítico por Microsoft en esta tanda correspondiente a la actualización de septiembre. Este mes destaca por un bajo número de parches publicados por Microsoft (cuatro, cuando en principio se anunciaron cinco) y sólo uno crítico para una versión concreta de su sistema operativo.
Lo verdaderamente peligroso de esta vulnerabilidad es que se encuentra en un ActiveX accesible desde Internet Explorer. Con sólo visitar una web que haga referencia a este control (una librería DLL) se permite ejecutar código arbitrario en el sistema.
Es posible que se observe algún intento de aprovechar este fallo para la instalación de malware, pero sospechamos que no se hará de forma masiva. Windows 2000 es usado por una minoría de usuarios «caseros» (objetivo preferente de la industria del malware) que siguen utilizando XP. En entornos corporativos, sin embargo, la versión de 2000 sigue muy presente. En estos ambientes empresariales, es de suponer que la seguridad se encuentre mucho más controlada (aunque todos conozcamos deshonrosas excepciones) y que el impacto de esta publicación del exploit sea mínimo.
En cualquier caso, se recomienda aplicar el parche correspondiente, y si no es posible, usar las zonas de Internet Explorer para controlar el nivel de confianza en las webs visitadas y evitar así la ejecución de JavaScript y ActiveX. También, como siempre, activar el «kill bit» para que la librería deje de ser accesible a través del navegador.
ssantos@hispasec.com
Más información:
Exploit code appears for Microsoft Agent bug
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9036218
Boletín de seguridad de Microsoft MS07-051 – Crítico
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-051.mspx
Deja una respuesta