A través de Zero Day Initiative se ha publicado un grave problema de seguridad en productos McAfee que permite la ejecución remota de código por parte de atacantes. Aunque McAfee fue informada del fallo hace unos nueve meses, no se ha solucionado el problema, por lo que se ha publicado la vulnerabilidad.
El fallo afecta a los productos SaaS (Security-as-a-Service) de la compañía que utilicen la librería myCIOScn.dll. En ella, el método MyCioScan.Scan.ShowReport acepta comandos que son luego ejecutados por otra función sin ningún tipo de autenticación. Este ActiveX permitiría entonces ejecutar código si la víctima visita una web especialmente manipulada. El ataque es muy sencillo de programar.
Lo más grave, es que la compañía fue avisada el pasado 1 de abril de 2011. Zero Day Initiative es la organización que ha gestionado la vulnerabilidad. Según la política de la compañía (impuesta en agosto de 2010) los fabricantes disponen de 180 días (seis meses) para corregir los errores reportados de forma privada. De lo contrario se harán públicos. Nueve meses después del primer contacto (no se ha especificado el porqué de esta demora adicional), la vulnerabilidad ha salido a la luz sin parche oficial.
La solución, como de costumbre en estos casos, pasa por activar el killbit del ActiveX para impedir que se instancie desde Internet Explorer. En concreto, se debe establecer el valor 0x00000400 en la rama del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\209EBDEE-065C-11D4-A6B8-00C04F0D38B7
Desde que en agosto de 2010 Tippingpoint decidiese poner un límite de 180 días a los fabricantes para corregir sus vulnerabilidades antes de hacerlas públicas, en 2011 se han sacado a la luz de esta forma hasta 29 alertas, que afectan a compañías como Cisco, HP, IBM o Microsoft. Esto significa que en ocasiones, para los grandes fabricantes, 6 meses sigue siendo «insuficiente» para publicar un parche que solucione ciertas vulnerabilidades reportadas de forma privada.
En agosto de 2011, en Hispasec publicamos la segunda parte de un estudio en este sentido. De los once fabricantes analizados y sobre 1.045 fallos, se concluía que la media global necesitaban de 177 días para publicar un parche. El informe está disponible desde:
Más información:
(0Day) McAfee SaaS myCIOScn.dll ShowReport Method Remote Command Execution
Sergio de los Santos
Twitter: @ssantosv
Están seguros que esta vulnerabilidad no fue corregida meses atrás? Entiendo que McAfee liberó un parche(s) para corregir este problema en su solución de SaaS Endpoint. Pueden validarlo?
Este problema no está corregido actualmente.
Anteriormente (hace algunos meses), sí han publicado parches para problemas parecidos, incluso con origen en la misma librería, pero este en concreto… no está solucionado.
Pueden validar si esta boletin emitido por McAfee corresponde a la vulnerabilidad tratada en este artículo?
https://kc.mcafee.com/corporate/index?page=content&id=SB10016