[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- -------------------------------------------------------------------- UNAM-CERT Departamento de Seguridad en Computo DGSCA - UNAM Boletín de Seguridad UNAM-CERT 2004-013 Actualización de Internet Explorer para Deshabilitar el Control ActiveX ADODB.Stream ---------------------------------------------------------------------- El CERT/UNAM-CERT, a través de sus equipos de respuesta a incidentes de Seguridad en Cómputo, han emitido éste boletín donde informan sobre una actualización de seguridad para Internet Explorer (IE) que deshabilita el control ActiveX ADODB.Stream. Esta actualización reduce el impacto de ataques contra vulnerabilidades del tipo cross-domain en IE. Fecha de liberación: 2 de Julio de 2004 Ultima Revisión: --------- Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes, así como Foros y Listas de Discusión. Sistemas Afectados ================== * Sistemas Windows de Microsoft I. Descripción ============== Una clase de vulnerabilidades en IE permite que un script malicioso de un dominio se ejecute en un dominio diferente, el cual también podría ejecutarse en una zona diferente de IE. Los intrusos típicamente intentan ejecutar un script en el contexto de seguridad de la Zona de Equipo Local <http://msdn.microsoft.com/workshop/security/szone/overview/overview.asp#local> (LMZ, Local Machine Zone). Una de tales vulnerabilidades (VU#713878 <http://www.kb.cert.org/vuls/id/713878>) es descrita en la Alerta Técnica del US-CERT TA04-163A <http://www.us-cert.gov/cas/techalerts/TA04-163A.html>. Otras vulnerabilidades del tipo cross-domain <http://www.kb.cert.org/vuls/byid?searchview&query=VU%23865940+or+VU%23711843+or+VU%23784102+or+VU%23771604+or+VU%23652452+or+VU%23728563+or+VU%23323070+or+VU%23244729+or+VU%23205148> tienen impactos similares. Después de obtener acceso a la LMZ a través de una o más de las vulnerabilidades mencionadas anteriormente, los intrusos típicamente intentan descargar y ejecutar un archivo. La escritura del ejecutable en el disco puede ser realizada utilizando el control ActiveX ADODB.Stream. Con el propósito para contrarrestar esta técnica, Microsoft ha liberado una actualización que deshabilita el control ADODB.Stream. De acuerdo con el Artículo de la Base de Conocimientos de Microsoft 870669 <http://support.microsoft.com/default.aspx?kbid=870669>: "Un objeto stream ADO contiene métodos para leer y escribir archivos binarios y archivos de texto. Cuando un objeto stream ADO es combinado con vulnerabilidades de seguridad conocidas en Internet Explorer, un sitio Web podría ejecutar scripts en la zona de Equipo Local. Para ayudar a proteger tu equipo de éste tipo de ataque, pueden modificar manualmente el Registro." Es importante hacer notar que podrían existir otras formas para que un intruso escriba datos arbitrarios o ejecute comandos sin confiar en el control ADODB.Stream. Mayor información esta disponible de Microsoft en el documento Lo que debería saber sobre Download.Ject <http://www.microsoft.com/latam/technet/seguridad/boletines/alerta-download-ject.asp>. Las instrucciones para asegurar Internet Explorer y otros navegadores Web contra scripts Web maliciosos están disponibles en el FAQ - Scripts de Web Maliciosos <http://www.cert.org/tech_tips/malicious_code_FAQ.html#ie56>. II. Impacto =========== Convenciendo a una víctima para que visualice un documento HTML (página Web, correo electrónico en HTML), un intruso podría ejecutar un script en un dominio de seguridad diferente al que contiene el documento del intruso. Causando que un script se ejecute en la Zona de Equipo Local, el intruso podría ejecutar código arbitrario con los privilegios del usuario ejecutando IE. La actividad de incidentes recientes conocida como Download.Ject (también conocido como JS.Scob.Trojan, Scob, JS.Toofeer) utiliza vulnerabilidades del tipo cross-domain y el control ADODB.Stream para instalar el software que roba información financiera sensitiva. III. Solución ============= Hasta que una solución completa esté disponible por parte de Microsoft, considere las siguientes soluciones temporales: * Deshabilitar Active scripting y los controles ActiveX Deshabilite los controles Active scripting y ActiveX en la Zona de Internet (o cualquier zona utilizada por un intruso) parece prevenir la explotación de esta vulnerabilidad. Al deshabilitar los controles Active scripting y ActiveX en la Zona de Equipo Local prevendrá el uso de la técnicas utilizadas por los intrusos. Las instrucciones para deshabilitar Active Scripting en la Zona de Internet pueden ser encontradas en el documento FAQ - Scripts de Web Maliciosos <http://www.cert.org/tech_tips/malicious_code_FAQ.html#ie56>. Consulte el Artículo de la Base de Conocimientos de Microsoft 833633 <http://support.microsoft.com/default.aspx?scid=833633> para mayor información sobre como asegurar la Zona de Equipo Local. También, el Service Pack 2 <http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/winxpsp2.mspx> para Windows XP (actualmente en RC1) incluye estas y otras mejoras de seguridad para IE. * No de Clic a Vínculos NO solicitados No debe dar clic en URLs no solicitados recibidos en un correo electrónico, mensajes instantáneos, foros de discusión o canales IRC (Internet Relay Chat). Esta recomendación es una buena práctica de seguridad, lo cual permite que se prevenga la explotación de esta vulnerabilidad en todos los casos. Por ejemplo, un sitio Web confiable podría ser comprometido y modificado para entregar un script de exploit a clientes ingenuos. * Deshabilitar el Control ActiveX ADODB.Stream Una forma de deshabilitar el control ADODB.Stream es aplicando la actualización del Centro de Descarga de Microsoft (KB870669 <http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=4D056748-C538-46F6-B7C8-2FBFD0D237E3>) o el sitio Web de Windows Update <http://windowsupdate.microsoft.com/> El control ADODB.Stream también puede ser deshabilitado modificando el Registro de Windows como se describe en el Artículo de la Base de Conocimientos de Microsoft 870669 (En Inglés) <http://support.microsoft.com/default.aspx?kbid=870669> o en el documento del UNAM-CERT Deshabilitar el Objeto ADODB.Stream de Internet Explorer <http://www.seguridad.unam.mx/vulnerabilidades/vulnerabilidad.ADODB-20040702.html>. Ambos métodos deshabilitan ADODB.Stream estableciendo un bit de control en el Registro de Windows. Se debe hacer notar que deshabilitando el control ADODB.Stream no soluciona directamente cualquier vulnerabilidad del tipo cross-domain, y no previene de ataques. Esta solución temporal previne una técnica muy conocida y ampliamente utilizada que consiste en escribir datos arbitrarios al disco duro después de explotar una vulnerabilidad del tipo cross-domain. Podrían existir otras formas para escribir datos arbitrarios o ejecutar comandos. * Mantenga Actualizado su Software Antivirus El software antivirus con las definiciones de virus actualizadas podría identificar y prevenir algunos intentos de explotar esta vulnerabilidad. Las variaciones de exploits o ataques podrían no ser detectadas. No es una buena práctica de seguridad confiar solamente en el software antivirus como defensa para esta vulnerabilidad. Apéndice A ========== * Microsoft Corporation Consulte los documentos: * Lo que debería saber sobre Download.Ject <http://www.microsoft.com/latam/technet/seguridad/boletines/alerta-download-ject.asp>. * Artículo de la Base de Conocimientos de Microsoft 870669 (En Inglés) <http://support.microsoft.com/default.aspx?kbid=870669> * UNAM-CERT - Deshabilitar el Objeto ADODB.Stream de Internet Explorer <http://www.seguridad.unam.mx/vulnerabilidades/vulnerabilidad.ADODB-20040702.html>. Apéndice B ========== * Alerta Técnica del US-CERT TA04-163A (En Inglés) - <http://www.us-cert.gov/cas/techalerts/TA04-163A.html> * Boletín de Seguridad UNAM-CERT-2004-011 - Vulnerabilidad del Tipo Redireccionamiento Cross-Domain en Internet Explorer <http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-011.html> * Nota de Vulnerabilidad del US-CERT VU#713878 (En Inglés) - <http://www.kb.cert.org/vuls/id/713878> * FAQ - Scripts Web Maliciosos - <http://www.cert.org/tech_tips/malicious_code_FAQ.html> * Resultados de la Seguridad en el Workshop ActiveX (PDF en Inglés) <http://www.cert.org/reports/activeX_report.pdf> * Lo que debería saber sobre Download.Ject - <http://www.microsoft.com/latam/technet/seguridad/boletines/alerta-download-ject.asp> * Incrementa la Seguridad en tu Navegador y Correo Electrónico (En Inglés) - <http://www.microsoft.com/security/incident/settings.mspx> * Trabajando con las Configuraciones de Seguridad de Internet Explorer 6 (En Inglés) - <http://www.microsoft.com/windows/ie/using/howto/security/settings.mspx <http://www.microsoft.com/windows/ie/using/howto/securit y/settings.mspx>> * Artículo de la Base de Conocimientos de Microsoft 870669 (En Inglés) - <http://support.microsoft.com/default.aspx?kbid=870669> * Artículo de la Base de Conocimientos de Microsoft 833633 (En Inglés) - <http://support.microsoft.com/default.aspx?kbid=833633> * Artículo de la Base de Conocimientos de Microsoft 182569 (En Inglés) - <http://support.microsoft.com/default.aspx?kbid=182569> * Artículo de la Base de Conocimientos de Microsoft 240797 (En Inglés) - <http://support.microsoft.com/default.aspx?kbid=240797> * UNAM-CERT: Deshabilitar el Objeto ADODB.Stream de Internet Explorer - <http://www.seguridad.unam.mx/vulnerabilidades/vulnerabilidad.ADODB-20040702.html> * Previo de Windows XP Service Pack 2 Release Candidate 2 (En Inglés)- <http://www.microsoft.com/technet/prodtechnol/winxppro/sp2preview.mspx> ------------------------------------------------------------------------ El Departamento de Seguridad en Computo/UNAM-CERT agradece el apoyo en la elaboración, revisión y traducción de este boletín a: * Jesús Ramón Jiménez Rojas (jrojas en seguridad unam mx) ------------------------------------------------------------------------ Información =========== Éste documento se encuentra disponible en su formato original en la siguiente dirección: http://www.us-cert.gov/cas/techalerts/TA04-184A.html La versión en español del documento se encuentra disponible en: http://www.seguridad.unam.mx/ http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-013.html Para mayor información acerca de éste boletín de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Cómputo DGSCA - UNAM E-Mail : unam-cert en seguridad.unam.mx http://www.cert.org.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQEVAwUBQOVAmHAvLUtwgRsVAQE64wgAkMivhvuZ1gItjeNv11c/8HC0XWQPIlbV ZlRyXWkSeHPBR9rYJUC/omnlHYyt8vpmlcWzEbO18bXSRHqnHR6ZKVnRSUkH0mt0 yon/f8iswaxjyoMz4Lh+NZ42+biNaQ03M9qVqpnjnm6GAI/mAAt0j9PI06+KkTMZ cdbg5OWzjb8pSfkXAq1ahguLaD3p89hxCRPUPc81dYwrbgxvOL66+HFzPz/9RfUl 9Od8dtbK+9/qCvoRtyaB0AFdNLRBeFSu+0vKNjPw/U9pYxaDpuFCF7tg7U2cx0QW f+UJGCicdWZkWCTccmwJrj1uUb67dLagoSm80nmunFKHTBAJa94Z2w== =kx/p -----END PGP SIGNATURE-----