Flash de Seguridad: Vulnerabilidad en Microsoft Windows

Informe original de "The SANS Institute": Dangerous Windows Flaw

Peligrosa vulnerabilidad en Windows
Aviso emitido el 17 de julio de 2000

El SANS Institute ha emitido hoy un Flash en el que se describe una vulnerabilidad que, seguramente, es el error de programaciãn m¡s peligroso que Microsoft ha cometido en las estaciones de trabajo Windows (todas las variantes: 95, 98, 2000 y NT 4.0).

Esta vulnerabilidad permite que un extraáo acceda al contenido de su ordenador si usted, simplemente, lee o previsualiza un mensaje (sin necesidad de que ejecute ningên archivo asociado). Esto puede ocurrir si utiliza una versiãn del sistema operativo que est© afectada y se tienen estos programas instalados:

  • Microsoft Access 97 ã 2000.
  • Internet Explorer 4.0 o superior, incluyendo el recientemente publicado Internet Explorer 5.5 (Microsoft Windows 2000 incluye el Internet Explorer 5.0).

Premio de SANS: Puede ser posible solucionar esta vulnerabilidad de forma autom¡tica, a trav©s de un mensaje y sin necesidad de que el usuario realice ninguna acciãn. El concepto es similar a utilizar una versiãn modificada del virus para hacernos inmunes. SANS ofrece una recompensa de 500 dãlares USA (y unos minutos de fama) a la primera persona que nos env­e una soluciãn pr¡ctica automatizada que pueda ser utilizada por las empresas para proteger todos los sistemas vulnerables de una forma r¡pida, simple y (relativamente) inãcua.

Por: Jesper Johansson, profesor asistente de la universidad de Boston y editor de SANS Institute Security Digest

Esta es una ediciãn especial del "SANS Institute Security Digest". El pasado 27 de junio, Georgi Guninski publicã un m©todo para comprometer Windows 98 utilizando Access 2000. Hemos desarrollado este m©todo m¡s, determinando que nos encontramos ante uno de los m¡s importantes agujeros en la seguridad de las estaciones de trabajo que utilizan Windows descubierto en los êltimos aáos. Microsoft nos solicitã que no publicarmos los detalles hasta que dispusieran de un parche que solucionara el problema. El d­a 14 de julio, publicaron un bolet­n que explicaba un m©todo para evitar esta vulnerabilidad, momento que aprovechamos para informar del problema.

MS00-049: Disponibilidad del parche para la vulnerabilidad "El script HTML de Office" y un m©todo para evitar la vulnerabilidad "El script IE"

El bolet­n discute dos temas diferenciados. En nuestra opiniãn, creemos que el problema relacionado con Access es mucho m¡s importante que el otro problema, de forma que lo comentamos en primer lugar.

Internet Explorer permite utilizar una marca de objeto para cargar un control ActiveX. Como propiedad de dato de la marca de objeto se indica el control ActiveX a cargar. Normalmente, un control ActiveX es un ejecutable. No obstante, los documentos de Microsoft Office tambi©n son controles ActiveX. En la instalaciãn por omisiãn, los controles ActiveX son cargados 'silenciosamente', sin solicitar permiso al usuario; dicho de otra forma, autom¡ticamente se ejecuta la trampa que aprovecha esta debilidad.

Es posible configurar Internet Explorer de forma que pida confirmaciãn al usuario sobre si debe cargar los controles ActiveX. Pero existe un importante fallo en el m©todo de solicitar confirmaciãn al usuario que ênicamente se manifiesta cuando el objeto solicitado es una base de datos de Microsoft Access (archivo .MDB). El orden de los eventos con los archivos .MDB es:

  1. El usuario accede a una p¡gina web que contiene la marca Object.
  2. Internet Explorer descarga la base de datos y ejecuta Access para abrir la base de datos.
  3. Internet Explorer solicita al usuario si debe abrir la base de datos.
  4. El usuario selecciona la opciãn No.
  5. Internet Explorer muestra un mensaje de error, indicando la existencia de cãdigo en la p¡gina que no es seguro.

Como puede determinarse de esta secuencia de eventos, el orden de ejecuciãn es incorrecto. Internet Explorer abre la base de datos Access ANTES de preguntar al usuario si debe abrirla. Supongamos que el usuario ha deshabilitado totalmente la ejecuciãn de controles ActiveX. En este caso, sucede la siguiente secuencia de eventos:

  1. El usuario accede a una p¡gina web que contiene la marca Object.
  2. Internet Explorer descarga la base de datos y ejecuta Access para abrir la base de datos.
  3. Internet Explorer informa al usuario de la existencia de cãdigo en la p¡gina que no es seguro.

De nuevo, la base de datos es abierta con anterioridad a que Internet Explorer determine si deben ejecutarse los controles ActiveX.

Microsoft denomina este problema como la vulnerabilidad del "script IE". Esta denominaciãn es confusa ya que puede hacer creer que con el Active Scripting est¡ deshabilitado, no se corre ningên riesgo. Esto no es verdad. Este problema no est¡ relacionado con el sistema de scripts, por lo que deshabilitar la capacidad de ejecutar los scripts no tiene ningên efecto.

Es m¡s, es realmente muy f¡cil sacar provecho de esta vulnerabilidad a trav©s de mensajes escritos en HTML. La mayor­a de programas de correo electrãnico m¡s populares, como el Outlook, Outlook Express y Eudora disponen de un panel para la vista previa. Este panel mostrar¡ el cãdigo HTML contenido en un mensaje, utilizando como int©rprete el Internet Explorer. Por lo tanto, tambi©n es posible la utilizaciãn de esta vulnerabilidad en los mensajes de correo formateados con HTML. Esto quiere decir que el usuario no tiene que abrir el mensaje o descargar ningên archivo. Y si el mensaje se encuentra en el ênico buzãn de correo del usuario, ©ste se ejecutar¡ inmediatamente nada m¡s recibir el mensaje.

Se trata de un problema realmente muy grave debido a las capacidades del lenguaje utilizado en Access, el Visual Basic for Applications (VBA). Es posible que Access ejecute el cãdigo VBA nada m¡s abrir la base de datos. En nuestras pruebas, hemos podido hacer que Access conectar¡ con un recurso de red (CIFS) compartido a trav©s de Internet y ejecutar¡ un programa que se encontraba almacenado en ese recurso. Por lo tanto, el programa que el atacante desea utilizar no hace falta que se encuentre en la m¡quina del usuario.

Sistemas vulnerables

Todos los sistemas Windows (Windows 2000, NT 4.0, 98 y 95) con estos programas instalados:

  • Microsoft Access 97 o Microsoft Access 2000.
  • Internet Explorer 4.0 o superior, incluyendo la versiãn 5.5 recientemente publicada. (Windows 2000 incluye Internet Explorer 5.0).
  • Es posible utilizar este agujero de seguridad a trav©s del correo electrãnico en sistemas con Outlook, Outlook Express, Eudora o cualquier otro programa de correo que utilice Internet Explorer para la visualizaciãn de los mensajes HTML.

Evitar el problema

Recomendamos realizar los siguientes pasos para evitar este agujero de seguridad:

  1. Asegurar que ningên programa que saque provecho de esta vulnerabilidad sea capaz de ejecutar un programa a trav©s de Internet. Para ello, deben bloquearse, en el cortafuegos de la empresa, la comparticiãn de archivos de Windows, impidiendo el tr¡fico de salida en los puertos 138 (UDP), 139 (UDP y TCP) y 445 (UDP y TCP).
  2. Aplicar el m©todo para la soluciãn del problema de Microsoft en todas las instalaciones de Microsoft Access que est©n bajo nuestro control. Los pasos a realizar son:
    1. Ejecutar Access 2000, pero sin abrir ninguna base de datso.
    2. En el menê Herramientas, seleccionar Seguridad.
    3. Seleccionar Cuentas de usuario y de grupo.
    4. Seleccionar el usuario Administrador, que est¡ definido por omisiãn.
    5. Acceder a la pestaáa Cambiar contraseáa de inicio de sesiãn.
    6. Si no se ha cambiado previamente, la contraseáa del usuario Administrador est¡ en blanco.
    7. Asignar una contraseáa al usuario Administrador.
    8. Hacer click en Aceptar para cerrar el menê.
  3. Si se utiliza Outlook 98 ã 2000, aplicar la actualizaciãn de seguridad de Outlook disponible en http://officeupdate.microsoft.com
  4. Establecer Outlook Express y Eudora para que lean el correo electrãnico en la zona de sitios restringidos, deshabilitando todo en esta zona.

Los puntos 3 y 4 no tienen nada que ver con esta vulnerabilidad, pero son una pr¡ctica de seguridad recomendable.

Vulnerabilidad "El script HTML de Office"

El segundo tema tratado en el bolet­n de Microsoft tambi©n est¡ relacionado con la utilizaciãn de componentes de Office como controles ActiveX, aunque no es un problema tan importante como el descrito anteriormente. Microsoft Excel 2000 y Microsoft PowerPoint 97 y PowerPoint 2000 pueden ser controlados desde Internet Explorer para salvar un archivo en cualquier carpeta del disco duro del usuario --siempre que el usuario tenga acceso a dicha carpeta. Esta vulnerabilidad puede permitir a un usuario grabar archivos en determinadas carpetas, como la carpeta Inicio del perfil del usuario.

Esta vulnerabilidad no funciona cuando Active Scripting y/o la ejecuciãn de controles ActiveX se encuentra deshabilitada. Por lo tanto, este problema mucho menos peligroso que el problema de Access. El origen de este problema radica en que los archivos de Excel y PowerPoint est¡n marcados como seguros en lo relacionado con los scripts. El parche de Microsoft los marca como inseguros.

Sistemas vulnerables

Todos los sistemas Windows (Windows 2000, NT 4.0, 98 y 95) que tengan instalado:

  • Microsoft Excel 2000 o PowerPoint 97 ã 2000.
  • Internet Explorer 4.0 o superior, incluyendo la versiãn 5.5
  • Es posible utilizar este agujero de seguridad a trav©s del correo electrãnico en sistemas con Outlook, Outlook Express, Eudora o cualquier otro programa de correo que utilice Internet Explorer para la visualizaciãn de los mensajes HTML.

Parche

Microsoft ha publicado un parche, que se encuentra disponible en:

Para m¡s informaciãn, consultar:

No existe todav­a ningên art­culo en la Microsoft Knowledge Base sobre el problema con Microsoft Access.

[P¡gina Inicial] [Soluciones] [Socios] [Informes] [Ofertas de Empleo] [Contacto]
© Copyright 2000-2001, Selesta Seguridad. Email: info@selseg.com
Declaraciãn de privacidad. - Aviso de responsabilidad.