Utilización de MSHTA para eludir zonas de seguridad


Un reciente artículo publicado por SpywareInfo (http://www.spywareinfo.com/newsletter/archives/july-
2003/29.php), menciona como muy grave una falla de Windows, detectada por integrantes de sus propios foros. Esta falla puede permitir a un atacante introducir y ejecutar troyanos y cualquier otra clase de código malicioso, a través del Internet Explorer, eludiendo todas las configuraciones de seguridad.





Los archivos HTA, normalmente están asociados al "Microsoft
HTML Application host", que es la utilidad MSHTA.EXE, el
programa que abre y ejecuta este tipo de archivos. Esta
extensión representa archivos en un formato binario
propietario de Microsoft, conteniendo código HTML estándar.

Si un archivo es liberado de alguna forma en el sistema (por
ejemplo utilizando ActiveX) y luego se ejecuta, invocando a
MSHTA.EXE, ésta aplicación quedará esperando cualquier script
HTA desde un archivo o página Web y ejecutará cualquier
código embebido en la página.

En concreto, según SpywareInfo, esto puede permitir a
cualquier sitio malicioso embeber un troyano, gusano o virus,
dentro de una página web, e infectar a todos los visitantes
que utilicen Internet Explorer.

Ya en abril de 2001 (ver "Seguimos golpeándonos los dedos con
un martillo", http://www.vsantivirus.com/gun42.htm), el
investigador Georgi Guninski había advertido que algunos
escenarios maliciosos podrían aprovecharse de MSHTA, dejando
scripts peligrosos, en recursos compartidos, o enviándolos en
archivos adjuntos a través del correo electrónico.

Microsoft publicó un parche para que el MSHTA no pudiera ser
invocado desde el navegador. Sin embargo, ello no cambió la
opinión de Kevin McLeavy, desarrollador del programa
antitroyano BOClean, quien siempre ha dicho que el MSHTA es
una grave amenaza para la seguridad.

Según McLeavy, la aplicación aún puede ser ejecutada en la
zona local o "Mi PC". "En otras palabras, se puede eludir
completamente la estructura de las zonas de seguridad y los
parches del Internet Explorer, debido a que MSHTA se ejecuta
siempre en la zona ?local?, por lo que cuando se le presenta
un script [HTA], siempre intentará interpretarlo y
ejecutarlo, eludiendo cortafuegos y restricciones del IE",
dice McLeavy en el artículo de referencia.

Según Mike Healan, de SpywareInfo, esto es un riesgo muy
severo para la seguridad, y recomienda que MSHTA sea
deshabilitado totalmente, a menos que usted lo necesite en
forma específica.

La falla fue descubierta por el equipo de SpywareInfo, a
partir de la aparición el 28 de julio, de un programa llamado
WINMAIN.EXE, que se propagaba rápidamente a través de
diferentes computadoras. Aunque la fuente de este archivo
sigue siendo un misterio, es probable haya sido distribuido
por algún software del tipo Adware o Spyware.

Ese programa crea un archivo C:WINLOG.HTML y luego ejecuta a
MSHTA.EXE desde la carpeta de Windows, dejándolo en espera
(hot standby), listo para aceptar cualquier script HTA.
Después de ello WINMAIN finaliza, pero MSHTA queda activo
durante todo el tiempo que dure la sesión de Windows, y se
reactiva cuando Windows se reinicia. Una página maliciosa
puede ser abierta, y cualquier código embebido en ella
ejecutado en la máquina en forma local.

Privacy Software Corporation ha desarrollado una pequeña
utilidad, "HTAStop", que deshabilita o habilita el scripting
HTA. El programa puede ser descargado desde los enlaces en
http://www.nsclean.com/htastop.html (seleccione "go to:
Freebies").

Un punto a tener en cuenta, es que la falla no puede ser
explotada hasta después que el troyano original haya sido
instalado, tanto a través del uso de ActiveX, como por
cualquier otro método. Se recomienda configurar la zona de
seguridad "Internet" para deshabilitar ActiveX, como se
explica en "Navegando más seguros y sin molestos Pop-Ups con
el IE", http://www.vsantivirus.com/faq-sitios-confianza.htm).


* Relacionados:

HTA DOWNLOAD EXPLOIT
http://www.nsclean.com/psc-htas.html

Nasty New Security Flaw Discovered
http://www.spywareinfo.com/newsletter/archives/july-
2003/29.php

Seguimos golpeándonos los dedos con un martillo
http://www.vsantivirus.com/gun42.htm

Internet Explorer 6 sigue siendo vulnerable
http://www.vsantivirus.com/vul-ie6-hta.htm

Fuente:
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
Por Jose Luis Lopez
videosoft@videosoft.net.uy

Otras noticias de interés:

Comprueba si eres un zombi de forma gratuita
PineApp te permite descubrir si las redes de ordenadores de una empresa han sido infectadas por un zombi o por un bot....
Troyano espía las llamadas de Skype
La empresa de seguridad Symantec, ha reportado la detección de nuevo troyano diseñado para atacar a los usuarios del cliente VoIP Skype. Pero contrario a lo que se podría pensar, no se dedica a robar las contraseñas de los usuarios o algo similar...
Extensiones de Google mejoran la seguridad de Java
Tomando prestada una técnica de Eiffel, Google está añadiendo la funcionalidad Design-By-Contract a Java....
PHP-Nuke Cross Site Scripting Vulnerabilities
Janek Vind waraxe reporto una vulnerabilidad en PHP-Nuke, puede ser atacado por personas maliciosas con Cross Site Scripting....
Google ofrece 16.500$ por fallo seguridad Chrome 11
Ofreciendo una suma sin precedentes, desde la compañía de Mountain View quieren incentivar a investigadores de todo el mundo a buscar los puntos flacos en la seguridad de su navegador web, que continúa su desarrollo a un ritmo imparable....
Actualización Firefox 3.0.2
La gente de Mozilla ha lanzado una nueva versión del este excelente navegador en la que corrige varios problemas de seguridad y estabilidad...
Desarrolladores chilenos lanzan LinuXP
La versión de este sistema operativo pretende acercar al usuario de PC a un entorno amigable y conocido, presentando un menú de opciones enfocadas al uso cotidiano de un computador en el ambiente empresarial y hogareño....
Estafa en la red.
Existe una pagina web llamada caledonianoffshore.com donde se ofrece la posibilidad a las personas desempleadas encontrarles empleos en compañias petroleras internacionales...
El CNCCS presenta Informe sobre Malware en Smartphones
El Consejo Nacional Consultivo de Cyberseguridad (CNCCS) ha realizado un informe buscando el concientizar sobre el correcto uso de los smartphones y el riesgo que conlleva su uso para las organizaciones y personas....
IV Convención de Computación e Informática - Pucallpa
Todos son invitados cordialmente a participar de la IV Convención de Computación e Informática , la cuál se realizará del 18 al 23 de Junio del 2.007, en la ciudad de Pucallpa - Perú, en la semana previa a la fiesta patronal más grande de la A...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • eludir
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mshta
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • utilizacion
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra
  • zonas