Utilización de MSHTA para eludir zonas de seguridad


Un reciente artículo publicado por SpywareInfo (http://www.spywareinfo.com/newsletter/archives/july-
2003/29.php), menciona como muy grave una falla de Windows, detectada por integrantes de sus propios foros. Esta falla puede permitir a un atacante introducir y ejecutar troyanos y cualquier otra clase de código malicioso, a través del Internet Explorer, eludiendo todas las configuraciones de seguridad.





Los archivos HTA, normalmente están asociados al "Microsoft
HTML Application host", que es la utilidad MSHTA.EXE, el
programa que abre y ejecuta este tipo de archivos. Esta
extensión representa archivos en un formato binario
propietario de Microsoft, conteniendo código HTML estándar.

Si un archivo es liberado de alguna forma en el sistema (por
ejemplo utilizando ActiveX) y luego se ejecuta, invocando a
MSHTA.EXE, ésta aplicación quedará esperando cualquier script
HTA desde un archivo o página Web y ejecutará cualquier
código embebido en la página.

En concreto, según SpywareInfo, esto puede permitir a
cualquier sitio malicioso embeber un troyano, gusano o virus,
dentro de una página web, e infectar a todos los visitantes
que utilicen Internet Explorer.

Ya en abril de 2001 (ver "Seguimos golpeándonos los dedos con
un martillo", http://www.vsantivirus.com/gun42.htm), el
investigador Georgi Guninski había advertido que algunos
escenarios maliciosos podrían aprovecharse de MSHTA, dejando
scripts peligrosos, en recursos compartidos, o enviándolos en
archivos adjuntos a través del correo electrónico.

Microsoft publicó un parche para que el MSHTA no pudiera ser
invocado desde el navegador. Sin embargo, ello no cambió la
opinión de Kevin McLeavy, desarrollador del programa
antitroyano BOClean, quien siempre ha dicho que el MSHTA es
una grave amenaza para la seguridad.

Según McLeavy, la aplicación aún puede ser ejecutada en la
zona local o "Mi PC". "En otras palabras, se puede eludir
completamente la estructura de las zonas de seguridad y los
parches del Internet Explorer, debido a que MSHTA se ejecuta
siempre en la zona ?local?, por lo que cuando se le presenta
un script [HTA], siempre intentará interpretarlo y
ejecutarlo, eludiendo cortafuegos y restricciones del IE",
dice McLeavy en el artículo de referencia.

Según Mike Healan, de SpywareInfo, esto es un riesgo muy
severo para la seguridad, y recomienda que MSHTA sea
deshabilitado totalmente, a menos que usted lo necesite en
forma específica.

La falla fue descubierta por el equipo de SpywareInfo, a
partir de la aparición el 28 de julio, de un programa llamado
WINMAIN.EXE, que se propagaba rápidamente a través de
diferentes computadoras. Aunque la fuente de este archivo
sigue siendo un misterio, es probable haya sido distribuido
por algún software del tipo Adware o Spyware.

Ese programa crea un archivo C:WINLOG.HTML y luego ejecuta a
MSHTA.EXE desde la carpeta de Windows, dejándolo en espera
(hot standby), listo para aceptar cualquier script HTA.
Después de ello WINMAIN finaliza, pero MSHTA queda activo
durante todo el tiempo que dure la sesión de Windows, y se
reactiva cuando Windows se reinicia. Una página maliciosa
puede ser abierta, y cualquier código embebido en ella
ejecutado en la máquina en forma local.

Privacy Software Corporation ha desarrollado una pequeña
utilidad, "HTAStop", que deshabilita o habilita el scripting
HTA. El programa puede ser descargado desde los enlaces en
http://www.nsclean.com/htastop.html (seleccione "go to:
Freebies").

Un punto a tener en cuenta, es que la falla no puede ser
explotada hasta después que el troyano original haya sido
instalado, tanto a través del uso de ActiveX, como por
cualquier otro método. Se recomienda configurar la zona de
seguridad "Internet" para deshabilitar ActiveX, como se
explica en "Navegando más seguros y sin molestos Pop-Ups con
el IE", http://www.vsantivirus.com/faq-sitios-confianza.htm).


* Relacionados:

HTA DOWNLOAD EXPLOIT
http://www.nsclean.com/psc-htas.html

Nasty New Security Flaw Discovered
http://www.spywareinfo.com/newsletter/archives/july-
2003/29.php

Seguimos golpeándonos los dedos con un martillo
http://www.vsantivirus.com/gun42.htm

Internet Explorer 6 sigue siendo vulnerable
http://www.vsantivirus.com/vul-ie6-hta.htm

Fuente:
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
Por Jose Luis Lopez
videosoft@videosoft.net.uy

Otras noticias de interés:

Protegiendo máquinas virtuales
Actualmente muchas empresas están migrando sus servidores y la infraestructura del centro de datos hacia el mundo de la virtualización, las tecnologías de seguridad -que son abundantes y comunes en el mundo físico- se vuelven escasas y distantes ...
Los peligros de las empresas de hospedaje
Según informa Europamedia, tres importantes empresas de hospedaje alemanas Alphamega, The Hosting Company y Original Europe (sucursal de la anterior) han sido la víctima durante los pasados días 3 y 4 de mayo de la destrucción del software necesa...
El adware encabeza lista de amenazas web
Según las estadísticas mensuales sobre malware de Kaspersky Lab, en diciembre su software bloqueó unos 209 millones de ataques de red. Además, detectó y neutralizó más de 196 programas malignos. ...
Invitacion al Taller Fundamentos de Empaquetamiento Debian - Proyecto Canaima.
El Centro Nacional de Tecnologías de Información (CNTI), con el fin de impulsar el desarrollo y fortalecimiento de la capacidad nacional del sector de las Tecnologías de Información, específicamente en la construcción y mantenimiento de solucio...
Se publica una versión actualizada de SAMBA
El equipo SAMBA acaba de publicar la versión 2.2.7 de este software, que soluciona un problema de seguridad potencialmente peligroso. Samba es una implementación Unix Open Source del protocolo SMB/NetBIOS utilizada para la compartición de archi...
Nueva versión de Opera: 11.51
Opera está demostrando porque es una de las mejoras alternativas en cuanto a navegadores se refiere. Quieres navegar rápido usa este navegador....
Valoración del Software Libre en la Sociedad 2012
Informe realizado por la gente de portalprogramas.com publicado el 12 de Noviembre donde estudian la importancia del software libre en la vida cotidiana....
El nuevo Internet Explorer 6 SP1 sigue siendo vulnerable
A poco tiempo del lanzamiento oficial del Service Pack 1 para Internet Explorer 6 (SP1), circulan en la red afirmaciones de expertos que ponen en duda su efectividad....
SSH, o como establecer conexiones y copiar ficheros de forma segura
Cuando se necesita administrar una máquina UNIX de forma remota, Lo primero que viene a la cabeza es telnet. Pero, ¿qué ocurre si la máquina en cuestión está al otro lado del mundo y las redes de datos que debemos atravesar no nos merecen con...
Intel retrasa el lanzamiento del chip Pentium 4 3GHz
Un posible problema con el 3GHz Pentium 4, descubierto a última hora, ha obligado a la compañía a posponer el lanzamiento oficial de su nuevo producto. Intel ha encontrado algunas anomalías y ha decidido interrumpir su distribución entre los fab...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • eludir
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mshta
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • utilizacion
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra
  • zonas