Utilización de MSHTA para eludir zonas de seguridad


Un reciente artículo publicado por SpywareInfo (http://www.spywareinfo.com/newsletter/archives/july-
2003/29.php), menciona como muy grave una falla de Windows, detectada por integrantes de sus propios foros. Esta falla puede permitir a un atacante introducir y ejecutar troyanos y cualquier otra clase de código malicioso, a través del Internet Explorer, eludiendo todas las configuraciones de seguridad.





Los archivos HTA, normalmente están asociados al "Microsoft
HTML Application host", que es la utilidad MSHTA.EXE, el
programa que abre y ejecuta este tipo de archivos. Esta
extensión representa archivos en un formato binario
propietario de Microsoft, conteniendo código HTML estándar.

Si un archivo es liberado de alguna forma en el sistema (por
ejemplo utilizando ActiveX) y luego se ejecuta, invocando a
MSHTA.EXE, ésta aplicación quedará esperando cualquier script
HTA desde un archivo o página Web y ejecutará cualquier
código embebido en la página.

En concreto, según SpywareInfo, esto puede permitir a
cualquier sitio malicioso embeber un troyano, gusano o virus,
dentro de una página web, e infectar a todos los visitantes
que utilicen Internet Explorer.

Ya en abril de 2001 (ver "Seguimos golpeándonos los dedos con
un martillo", http://www.vsantivirus.com/gun42.htm), el
investigador Georgi Guninski había advertido que algunos
escenarios maliciosos podrían aprovecharse de MSHTA, dejando
scripts peligrosos, en recursos compartidos, o enviándolos en
archivos adjuntos a través del correo electrónico.

Microsoft publicó un parche para que el MSHTA no pudiera ser
invocado desde el navegador. Sin embargo, ello no cambió la
opinión de Kevin McLeavy, desarrollador del programa
antitroyano BOClean, quien siempre ha dicho que el MSHTA es
una grave amenaza para la seguridad.

Según McLeavy, la aplicación aún puede ser ejecutada en la
zona local o "Mi PC". "En otras palabras, se puede eludir
completamente la estructura de las zonas de seguridad y los
parches del Internet Explorer, debido a que MSHTA se ejecuta
siempre en la zona ?local?, por lo que cuando se le presenta
un script [HTA], siempre intentará interpretarlo y
ejecutarlo, eludiendo cortafuegos y restricciones del IE",
dice McLeavy en el artículo de referencia.

Según Mike Healan, de SpywareInfo, esto es un riesgo muy
severo para la seguridad, y recomienda que MSHTA sea
deshabilitado totalmente, a menos que usted lo necesite en
forma específica.

La falla fue descubierta por el equipo de SpywareInfo, a
partir de la aparición el 28 de julio, de un programa llamado
WINMAIN.EXE, que se propagaba rápidamente a través de
diferentes computadoras. Aunque la fuente de este archivo
sigue siendo un misterio, es probable haya sido distribuido
por algún software del tipo Adware o Spyware.

Ese programa crea un archivo C:WINLOG.HTML y luego ejecuta a
MSHTA.EXE desde la carpeta de Windows, dejándolo en espera
(hot standby), listo para aceptar cualquier script HTA.
Después de ello WINMAIN finaliza, pero MSHTA queda activo
durante todo el tiempo que dure la sesión de Windows, y se
reactiva cuando Windows se reinicia. Una página maliciosa
puede ser abierta, y cualquier código embebido en ella
ejecutado en la máquina en forma local.

Privacy Software Corporation ha desarrollado una pequeña
utilidad, "HTAStop", que deshabilita o habilita el scripting
HTA. El programa puede ser descargado desde los enlaces en
http://www.nsclean.com/htastop.html (seleccione "go to:
Freebies").

Un punto a tener en cuenta, es que la falla no puede ser
explotada hasta después que el troyano original haya sido
instalado, tanto a través del uso de ActiveX, como por
cualquier otro método. Se recomienda configurar la zona de
seguridad "Internet" para deshabilitar ActiveX, como se
explica en "Navegando más seguros y sin molestos Pop-Ups con
el IE", http://www.vsantivirus.com/faq-sitios-confianza.htm).


* Relacionados:

HTA DOWNLOAD EXPLOIT
http://www.nsclean.com/psc-htas.html

Nasty New Security Flaw Discovered
http://www.spywareinfo.com/newsletter/archives/july-
2003/29.php

Seguimos golpeándonos los dedos con un martillo
http://www.vsantivirus.com/gun42.htm

Internet Explorer 6 sigue siendo vulnerable
http://www.vsantivirus.com/vul-ie6-hta.htm

Fuente:
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
Por Jose Luis Lopez
videosoft@videosoft.net.uy

Otras noticias de interés:

Alemania se prepara para una guerra cibernética
La intención del gobierno germano es crear un nuevo centro de guerra informática para repeler ataques de espionaje. La decisión sigue a aquella tomada por Gran Bretaña tras la aparición del gusano informático Stuxnet....
Continúa el goteo de demandas judiciales contra las supuestas prácticas ilegales
En esta ocasión se trata de Sun y Be, cuyas demandas contra la compañía han sido transferidas al juez Frederick Motz, que se ha venido ocupando de más de cien casos similares....
Criptografía y firewalls, los mejores métodos de lucha contra el espionaje digital
Desde que Internet se comercializó como una plataforma de naturaleza abierta a todo tipo de información y mensajes, la preocupación por la seguridad empezó a tener relevancia a nivel gubernamental y también corporativo. Los firewalls son, hoy po...
Jefe de la Agencia de Seguridad de EEUU pide ley contra los ciberataques
Los ciberataques parecen ser uno de los principales dolores de cabeza para las autoridades norteamericanas. Sin ir más lejos, hace algunos días Keith Alexander, jefe de la NSA (Agencia de Seguridad Nacional) aseguró que Estados Unidos debe adoptar...
Opera Link abre su API
Seguro que todos los usuarios de Opera aprecian de una u otra forma a Opera Link. Opera link sincroniza marcadores, contraseñas y demás entre todas las intalaciones de Opera que quieras, incluyendo versiones móviles. Lo malo es que Opera Link es e...
Ciberdelincuencia, del reto personal a las mafias
Motivados por los grandes ingresos, los ciberdelincuentes profesionales han sustituido a los aficionados que buscaban emociones como la mayor amenaza en la web. La revista Business Week publicaba en 2005 que algo estaba cambiando en las amenazas onli...
Carta a la Ministra Socorro Hernández sobre OOXML (Venezuela)
Carta enviada a la Ministra para evitar el voto a favor por el OOXML por parte de Venezuela...
Naciones Unidas recomienda el uso de software libre.
La ONU recomienda la utilización y el fomento del software libre tanto en el seno de la organización como entre los países miembros, dijo el inspector de Naciones Unidas Dominique Ouredrago, que participó en la cl...
Vulnerabilidad Zero-day en Word, ejecución de código
Microsoft ha confirmado la aparición de una serie de informes sobre un nuevo ataque del tipo Zero-day que utiliza una vulnerabilidad en Microsoft Word 2000, 2002 y 2003, Microsoft Word Viewer 2003, Microsoft Word 2004 para Mac, además de Micr...
Twitter borra tweets por infracción copyright
Con su crecimiento, Twitter comienza a tener más responsabilidades o al menos eso le pareció a la oficina de copyright de Estados Unidos. La empresa comenzó a borrar los tweets en los que se compartan links a descargas sin autorización....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • eludir
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mshta
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • utilizacion
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra
  • zonas