Posible vector de ataque vía IE y Acrobat Reader
Por Angela Ruiz
[email protected]
Se ha reportado un exploit que utiliza dos vulnerabilidades
combinadas, para comprometer al sistema con una nueva clase
de ataque.
Una de ellas, es una antigua vulnerabilidad en Internet
Explorer que afecta a IE6 SP2 (CVE-2004-1331), que permite
eludir la ventana de advertencia cuando se intenta descargar
un archivo ejecutable (solo aparece la ventana para abrir o
guardar el archivo). El Internet Explorer 7 no es vulnerable
a este fallo.
De todas maneras, este error depende de la configuración
predeterminada de Windows, y no puede ser explotada si la
opción "Ocultar las extensiones del archivo para tipos de
archivos conocidos" está desmarcada (por defecto esta opción
está marcada).
Para desmarcar dicha opción, y prevenir este tipo de ataque,
sugerimos seguir las siguientes instrucciones:
Mostrar las extensiones y ver todos los archivos
http://www.vsantivirus.com/faq-mostrar-extensiones.htm
La otra vulnerabilidad que puede ser combinada con la
anterior, es la relacionada con el formato PDF, anunciada por
GNUCITIZEN unas semanas atrás. De este modo, sería posible
llevar a cabo un ataque exitoso, utilizando la vulnerabilidad
en IE6 para descargar el archivo, y la aplicación Acrobat
Reader para abrirlo.
Si finalmente se lograra ejecutar un código malicioso con
este procedimiento, el sistema se vería comprometido.
Un video demuestra cómo es posible abrir la calculadora de
Windows con la prueba de concepto de este exploit.
Lo curioso en este caso, es que el fallo puede explotarse
solamente si se abre el archivo con Acrobat Reader, pero no
cuando se intenta abrir desde el navegador, utilizando el
control ActiveX de Acrobat.
Para minimizar los riesgos de esta nueva clase de ataque, aconsejamos configurar la opción "Ocultar las extensiones del archivo para tipos de archivos conocidos" como se indicó antes, y también seguir los siguientes consejos respecto al Acrobat Reader:
Cómo correr menos riesgos al abrir archivos PDF
http://www.vsantivirus.com/faq-pdf.htm
* Relacionado:
Back from the dead (incluye video)
http://aviv.raffon.net/2007/10/15/BackFromTheDead.aspx
* Más información:
CVE-2004-1331 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-1331
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2004-1331
Vulnerabilidad en Adobe Reader y Acrobat (mailto)
http://www.vsantivirus.com/vul-adobe-cve-2007-5020.htm
Posible vulnerabilidad en lectores de archivos PDF
http://www.vsantivirus.com/vul-pdf-zeroday-200907.htm
Fuente: http://www.vsantivirus.com/17-10-07.htm
[email protected]
Se ha reportado un exploit que utiliza dos vulnerabilidades
combinadas, para comprometer al sistema con una nueva clase
de ataque.
Una de ellas, es una antigua vulnerabilidad en Internet
Explorer que afecta a IE6 SP2 (CVE-2004-1331), que permite
eludir la ventana de advertencia cuando se intenta descargar
un archivo ejecutable (solo aparece la ventana para abrir o
guardar el archivo). El Internet Explorer 7 no es vulnerable
a este fallo.
De todas maneras, este error depende de la configuración
predeterminada de Windows, y no puede ser explotada si la
opción "Ocultar las extensiones del archivo para tipos de
archivos conocidos" está desmarcada (por defecto esta opción
está marcada).
Para desmarcar dicha opción, y prevenir este tipo de ataque,
sugerimos seguir las siguientes instrucciones:
Mostrar las extensiones y ver todos los archivos
http://www.vsantivirus.com/faq-mostrar-extensiones.htm
La otra vulnerabilidad que puede ser combinada con la
anterior, es la relacionada con el formato PDF, anunciada por
GNUCITIZEN unas semanas atrás. De este modo, sería posible
llevar a cabo un ataque exitoso, utilizando la vulnerabilidad
en IE6 para descargar el archivo, y la aplicación Acrobat
Reader para abrirlo.
Si finalmente se lograra ejecutar un código malicioso con
este procedimiento, el sistema se vería comprometido.
Un video demuestra cómo es posible abrir la calculadora de
Windows con la prueba de concepto de este exploit.
Lo curioso en este caso, es que el fallo puede explotarse
solamente si se abre el archivo con Acrobat Reader, pero no
cuando se intenta abrir desde el navegador, utilizando el
control ActiveX de Acrobat.
Para minimizar los riesgos de esta nueva clase de ataque, aconsejamos configurar la opción "Ocultar las extensiones del archivo para tipos de archivos conocidos" como se indicó antes, y también seguir los siguientes consejos respecto al Acrobat Reader:
Cómo correr menos riesgos al abrir archivos PDF
http://www.vsantivirus.com/faq-pdf.htm
* Relacionado:
Back from the dead (incluye video)
http://aviv.raffon.net/2007/10/15/BackFromTheDead.aspx
* Más información:
CVE-2004-1331 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-1331
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2004-1331
Vulnerabilidad en Adobe Reader y Acrobat (mailto)
http://www.vsantivirus.com/vul-adobe-cve-2007-5020.htm
Posible vulnerabilidad en lectores de archivos PDF
http://www.vsantivirus.com/vul-pdf-zeroday-200907.htm
Fuente: http://www.vsantivirus.com/17-10-07.htm
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!