Tema: Vulnerabilidad crítica en Microsoft XML Core Services
Ver Mensaje Individual
Antiguo 08/11/2006, 19:19   #1
caminero21 
Moderador Indio
 
Avatar de caminero21
 
Fecha de ingreso: 13/nov/2003
Mensajes: 742
caminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededorcaminero21 tiene un espectacular aura a su alrededor
Vulnerabilidad crítica en Microsoft XML Core Services
Una vulnerabilidad ha sido reportada en Microsoft XML Core Services (Servicios principales de XML), la cuál puede ser explotada por usuarios maliciosos para comprometer el sistema de los usuarios.

La vulnerabilidad está relacionada con un error no especificado en el control ActiveX XMLHTTP 4.0. Un atacante podría explotar este fallo construyendo una página Web maliciosa que potencialmente podría ejecutar código en el equipo del usuario que la visite utilizando Internet Explorer.

Un ataque vía correo electrónico podría ser posible, si el usuario hace clic en enlaces de mensajes con formato HTML.

Según reporta Secunia, el exploit para esta vulnerabilidad está siendo utilizado activamente.

No existen parches oficiales para esta vulnerabilidad. Microsoft ha reconocido el problema, y sugiere algunas formas de prevenir un ataque exitoso.

La configuración sugerida por VSAntivirus en el siguiente enlace, previene la ejecución del exploit en sitios no confiables:

Configuración personalizada para hacer más seguro el IE
[url]http://www.vsantivirus.com/faq-sitios-confianza.htm[/url]

Sin embargo, para prevenir otros posibles vectores de ataque, sugerimos activar el kill-bit para el objeto ActiveX vulnerable.


[B]Herramienta para habilitar el kill bit de XMLHTTP[/B]

Descargue el siguiente archivo .REG y haga clic sobre él:

[url]http://www.videosoft.net.uy/msxml-killbit.reg[/url]

Una ventana con un mensaje preguntándole si desea agregar la información al Registro le será mostrada. Haga clic en [ Si ] para aceptarlo.

Dicho archivo agregará la siguiente entrada en el registro:

HKLM\SOFTWARE\Microsoft\Internet Explorer
\ActiveX Compatibility\{88D969C5-F192-11D4-A65F-0040963251E5}
"Compatibility Flags" = dword:00000400

NOTA: Cuando Microsoft publique el parche correspondiente, podrá eliminar los cambios realizados, descargando y haciendo clic sobre el siguiente archivo:

[url]http://www.videosoft.net.uy/msxml-killbit-off.reg[/url]


Sobre el kill bit de XMLHTTP

Por cada control ActiveX existe un único identificador de clase llamado CLSID.

CLSID (Class identifier, o Identificador de clase), es un identificador universal exclusivo (UUID) que identifica un componente COM. Cada componente COM tiene su CLSID en el registro de Windows de forma que otras aplicaciones puedan cargarlo.

COM (Modelo de Objetos Componentes), es un modelo de programación orientada a objetos que define cómo interactúan los mismos con una aplicación determinada o entre distintas aplicaciones.

En el registro de Windows, si vemos la sección "HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Internet Explorer\ ActiveX Compatibility", nos encontramos con varios identificadores CLSID de ActiveX que están representados por un código extremadamente largo de letras y números entre corchetes, por ejemplo: {00000566-0000-0010-8000-00AA006D2EA4}.

En cada clave existe un valor llamado "Compatibility Flags". Cuando este valor es equivalente a "1024" (o 400 en hexadecimal), se evita que ese control se instale o ejecute (esto hace SpywareBlaster por ejemplo, para evitar la carga de muchos parásitos, spywares y adwares).

Habilitando el "kill bit" para "XMLHTTP" en el registro de Windows, dicho objeto igual podrá acceder a su disco duro, pero no lo podrá hacer cuando se encuentre dentro del Internet Explorer, evitando así que una vulnerabilidad como la detectada pueda ser utilizada maliciosamente.

NOTA: El siguiente es el CLSID para XMLHTTP

{88D969C5-F192-11D4-A65F-0040963251E5}


[B]Software vulnerable:[/B]

- Microsoft Windows 2000
- Microsoft Windows Server 2003
- Microsoft Windows XP

Otros sistemas operativos anteriores podrían ser vulnerables, pero ya no son soportados por Microsoft.


[B]Más información:[/B]

Microsoft Security Advisory (927892)
Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution
[url]http://www.microsoft.com/technet/security/advisory/927892.mspx[/url]

US-CERT VU#585137:
[url]http://www.kb.cert.org/vuls/id/585137[/url]

Microsoft XMLHTTP ActiveX Control Code Execution Vulnerability
[url]http://secunia.com/advisories/22687/[/url]
__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad
caminero21 está desconectado
Respuesta rápida a este mensaje
Responder Citando Subir