--
When we have enough free software
At our call, hackers, at our call,
We'll throw out those dirty licenses
Ever more, hackers, ever more.
--- Begin Message ---
-----BEGIN PGP SIGNED MESSAGE-----
--------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Computo
DGSCA - UNAM
Boletín de Seguridad UNAM-CERT 2004-013
Actualización de Internet Explorer para Deshabilitar el
Control ActiveX ADODB.Stream
----------------------------------------------------------------------
El CERT/UNAM-CERT, a través de sus equipos de respuesta a
incidentes de Seguridad en Cómputo, han emitido éste boletín donde
informan sobre una actualización de seguridad para Internet Explorer
(IE) que deshabilita el control ActiveX ADODB.Stream. Esta
actualización reduce el impacto de ataques contra vulnerabilidades
del tipo cross-domain en IE.
Fecha de liberación: 2 de Julio de 2004
Ultima Revisión: ---------
Fuente: CERT/CC y diversos reportes de
Equipos de Respuesta a Incidentes,
así como Foros y Listas de
Discusión.
Sistemas Afectados
==================
* Sistemas Windows de Microsoft
I. Descripción
==============
Una clase de vulnerabilidades en IE permite que un script malicioso
de un dominio se ejecute en un dominio diferente, el cual también
podría ejecutarse en una zona diferente de IE. Los intrusos
típicamente intentan ejecutar un script en el contexto de seguridad
de la Zona de Equipo Local
<http://msdn.microsoft.com/workshop/security/szone/overview/overview.asp#local>
(LMZ, Local Machine Zone). Una de tales vulnerabilidades (VU#713878
<http://www.kb.cert.org/vuls/id/713878>) es descrita en la Alerta
Técnica del US-CERT TA04-163A
<http://www.us-cert.gov/cas/techalerts/TA04-163A.html>. Otras
vulnerabilidades del tipo cross-domain
<http://www.kb.cert.org/vuls/byid?searchview&query=VU%23865940+or+VU%23711843+or+VU%23784102+or+VU%23771604+or+VU%23652452+or+VU%23728563+or+VU%23323070+or+VU%23244729+or+VU%23205148>
tienen impactos similares.
Después de obtener acceso a la LMZ a través de una o más de las
vulnerabilidades mencionadas anteriormente, los intrusos típicamente
intentan descargar y ejecutar un archivo. La escritura del
ejecutable en el disco puede ser realizada utilizando el control
ActiveX ADODB.Stream. Con el propósito para contrarrestar esta
técnica, Microsoft ha liberado una actualización que deshabilita el
control ADODB.Stream. De acuerdo con el Artículo de la Base de
Conocimientos de Microsoft 870669
<http://support.microsoft.com/default.aspx?kbid=870669>:
"Un objeto stream ADO contiene métodos para leer y escribir
archivos binarios y archivos de texto. Cuando un objeto stream
ADO es combinado con vulnerabilidades de seguridad conocidas en
Internet Explorer, un sitio Web podría ejecutar scripts en la
zona de Equipo Local. Para ayudar a proteger tu equipo de éste
tipo de ataque, pueden modificar manualmente el Registro."
Es importante hacer notar que podrían existir otras formas para que
un intruso escriba datos arbitrarios o ejecute comandos sin confiar
en el control ADODB.Stream.
Mayor información esta disponible de Microsoft en el documento Lo
que debería saber sobre Download.Ject
<http://www.microsoft.com/latam/technet/seguridad/boletines/alerta-download-ject.asp>.
Las instrucciones para asegurar Internet Explorer y otros
navegadores Web contra scripts Web maliciosos están disponibles en
el FAQ - Scripts de Web Maliciosos
<http://www.cert.org/tech_tips/malicious_code_FAQ.html#ie56>.
II. Impacto
===========
Convenciendo a una víctima para que visualice un documento HTML
(página Web, correo electrónico en HTML), un intruso podría ejecutar
un script en un dominio de seguridad diferente al que contiene el
documento del intruso. Causando que un script se ejecute en la Zona
de Equipo Local, el intruso podría ejecutar código arbitrario con
los privilegios del usuario ejecutando IE.
La actividad de incidentes recientes conocida como Download.Ject
(también conocido como JS.Scob.Trojan, Scob, JS.Toofeer) utiliza
vulnerabilidades del tipo cross-domain y el control ADODB.Stream
para instalar el software que roba información financiera sensitiva.
III. Solución
=============
Hasta que una solución completa esté disponible por parte de
Microsoft, considere las siguientes soluciones temporales:
* Deshabilitar Active scripting y los controles ActiveX
Deshabilite los controles Active scripting y ActiveX en la
Zona de Internet (o cualquier zona utilizada por un intruso)
parece prevenir la explotación de esta vulnerabilidad. Al
deshabilitar los controles Active scripting y ActiveX en la
Zona de Equipo Local prevendrá el uso de la técnicas
utilizadas por los intrusos. Las instrucciones para
deshabilitar Active Scripting en la Zona de Internet pueden
ser encontradas en el documento FAQ - Scripts de Web
Maliciosos
<http://www.cert.org/tech_tips/malicious_code_FAQ.html#ie56>.
Consulte el Artículo de la Base de Conocimientos de Microsoft
833633 <http://support.microsoft.com/default.aspx?scid=833633>
para mayor información sobre como asegurar la Zona de Equipo
Local. También, el Service Pack 2
<http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/winxpsp2.mspx>
para Windows XP (actualmente en RC1) incluye estas y otras
mejoras de seguridad para IE.
* No de Clic a Vínculos NO solicitados
No debe dar clic en URLs no solicitados recibidos en un correo
electrónico, mensajes instantáneos, foros de discusión o
canales IRC (Internet Relay Chat). Esta recomendación es una
buena práctica de seguridad, lo cual permite que se prevenga
la explotación de esta vulnerabilidad en todos los casos. Por
ejemplo, un sitio Web confiable podría ser comprometido y
modificado para entregar un script de exploit a clientes ingenuos.
* Deshabilitar el Control ActiveX ADODB.Stream
Una forma de deshabilitar el control ADODB.Stream es aplicando
la actualización del Centro de Descarga de Microsoft (KB870669
<http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=4D056748-C538-46F6-B7C8-2FBFD0D237E3>)
o el sitio Web de Windows Update
<http://windowsupdate.microsoft.com/>
El control ADODB.Stream también puede ser deshabilitado
modificando el Registro de Windows como se describe en el
Artículo de la Base de Conocimientos de Microsoft 870669 (En
Inglés)
<http://support.microsoft.com/default.aspx?kbid=870669> o en
el documento del UNAM-CERT Deshabilitar el Objeto ADODB.Stream
de Internet Explorer
<http://www.seguridad.unam.mx/vulnerabilidades/vulnerabilidad.ADODB-20040702.html>.
Ambos métodos deshabilitan ADODB.Stream estableciendo un bit
de control en el Registro de Windows.
Se debe hacer notar que deshabilitando el control ADODB.Stream
no soluciona directamente cualquier vulnerabilidad del tipo
cross-domain, y no previene de ataques. Esta solución temporal
previne una técnica muy conocida y ampliamente utilizada que
consiste en escribir datos arbitrarios al disco duro después
de explotar una vulnerabilidad del tipo cross-domain. Podrían
existir otras formas para escribir datos arbitrarios o
ejecutar comandos.
* Mantenga Actualizado su Software Antivirus
El software antivirus con las definiciones de virus
actualizadas podría identificar y prevenir algunos intentos de
explotar esta vulnerabilidad. Las variaciones de exploits o
ataques podrían no ser detectadas. No es una buena práctica de
seguridad confiar solamente en el software antivirus como
defensa para esta vulnerabilidad.
Apéndice A
==========
* Microsoft Corporation
Consulte los documentos:
* Lo que debería saber sobre Download.Ject
<http://www.microsoft.com/latam/technet/seguridad/boletines/alerta-download-ject.asp>.
* Artículo de la Base de Conocimientos de Microsoft 870669 (En
Inglés) <http://support.microsoft.com/default.aspx?kbid=870669>
* UNAM-CERT - Deshabilitar el Objeto ADODB.Stream de Internet
Explorer
<http://www.seguridad.unam.mx/vulnerabilidades/vulnerabilidad.ADODB-20040702.html>.
Apéndice B
==========
* Alerta Técnica del US-CERT TA04-163A (En Inglés) -
<http://www.us-cert.gov/cas/techalerts/TA04-163A.html>
* Boletín de Seguridad UNAM-CERT-2004-011 - Vulnerabilidad del
Tipo Redireccionamiento Cross-Domain en Internet Explorer
<http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-011.html>
* Nota de Vulnerabilidad del US-CERT VU#713878 (En Inglés) -
<http://www.kb.cert.org/vuls/id/713878>
* FAQ - Scripts Web Maliciosos -
<http://www.cert.org/tech_tips/malicious_code_FAQ.html>
* Resultados de la Seguridad en el Workshop ActiveX (PDF en
Inglés) <http://www.cert.org/reports/activeX_report.pdf>
* Lo que debería saber sobre Download.Ject -
<http://www.microsoft.com/latam/technet/seguridad/boletines/alerta-download-ject.asp>
* Incrementa la Seguridad en tu Navegador y Correo Electrónico
(En Inglés) -
<http://www.microsoft.com/security/incident/settings.mspx>
* Trabajando con las Configuraciones de Seguridad de Internet
Explorer 6 (En Inglés) -
<http://www.microsoft.com/windows/ie/using/howto/security/settings.mspx
<http://www.microsoft.com/windows/ie/using/howto/securit
y/settings.mspx>>
* Artículo de la Base de Conocimientos de Microsoft 870669 (En
Inglés) - <http://support.microsoft.com/default.aspx?kbid=870669>
* Artículo de la Base de Conocimientos de Microsoft 833633 (En
Inglés) - <http://support.microsoft.com/default.aspx?kbid=833633>
* Artículo de la Base de Conocimientos de Microsoft 182569 (En
Inglés) - <http://support.microsoft.com/default.aspx?kbid=182569>
* Artículo de la Base de Conocimientos de Microsoft 240797 (En
Inglés) - <http://support.microsoft.com/default.aspx?kbid=240797>
* UNAM-CERT: Deshabilitar el Objeto ADODB.Stream de Internet
Explorer -
<http://www.seguridad.unam.mx/vulnerabilidades/vulnerabilidad.ADODB-20040702.html>
* Previo de Windows XP Service Pack 2 Release Candidate 2 (En
Inglés)-
<http://www.microsoft.com/technet/prodtechnol/winxppro/sp2preview.mspx>
------------------------------------------------------------------------
El Departamento de Seguridad en Computo/UNAM-CERT agradece el apoyo
en la elaboración, revisión y traducción de este boletín a:
* Jesús Ramón Jiménez Rojas ([EMAIL PROTECTED])
------------------------------------------------------------------------
Información
===========
Éste documento se encuentra disponible en su formato original en la
siguiente dirección:
http://www.us-cert.gov/cas/techalerts/TA04-184A.html
La versión en español del documento se encuentra disponible en:
http://www.seguridad.unam.mx/
http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-013.html
Para mayor información acerca de éste boletín de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Cómputo
DGSCA - UNAM
E-Mail : unam-cert en seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQEVAwUBQOVEuXAvLUtwgRsVAQFCXQf+Kso14FZO13ejEyrfvj/pkXrKXC/bzXLD
lVWf13Xmuexn8t3rfURkpXD7q03o9abd1s6Nl0qidxbxfwX7+EnTRFZpWcvYZjVY
HnwYnzxZ+dW4GIb/0rl23HLtwzXNFCWRGh11D7minXLM8jxxG4LasOAgenri63Fy
Us31zdVfeQkTbQSGI84jXKbftY7iqt1CgedaaMLNs6ZOAol5s/n1lw7WI6oM6Cba
b1vzrTAN43cZeKfR+vCfMp8LBSqRnPuK0QhVKyqzlV2fP3wpMsOy07LaSPMXsE2D
LgufkMalSVysJlCjWknsaE5l9EwU7B2Lyigi9wkPzMLgyfXxNu6eeQ==
=6Ujo
-----END PGP SIGNATURE-----
--- End Message ---