Vulnerabilidad crítica en Windows (WebViewFolderIcon)


Una vulnerabilidad crítica ha sido detectada en el shell de Microsoft Windows, la cuál puede ser explotada para la ejecución de código de forma remota.





El problema es ocasionado por el objeto ActiveX "Microsoft
WebViewFolderIcon ActiveX control" (Web View), utilizado por
el Explorador de Windows.

La vulnerabilidad puede ser utilizada por un atacante para la
ejecución remota de código, a través de una página Web
maliciosa o de un correo electrónico con formato HTML.

También puede ser explotada por un troyano u otra clase de
malware.

Son afectadas todas las versiones de Windows actualmente
soportadas, menos Windows Server 2003 y Windows Server 2003
SP1 con la configuración por defecto.

* Solución:

No existe una solución oficial para este problema al momento de la publicación de esta alerta.

* Herramienta para habilitar el kill bit de WEBVW.DLL

El SANS Institute Internet Storm Center (http://isc.sans.org), ha publicado una herramienta que
habilita el "kill bit" del componente afectado (WEBVW.DLL)

Para usarla, descargue el archivo siguiente y ejecútelo en su
PC:

http://handlers.sans.org/tliston/WEBVW.DLL_KillBit.exe

Al ejecutarlo, un mensaje del tipo "No se puede comprobar el
fabricante, ¿Está seguro que desea ejecutar este software?"
podría ser mostrado. En ese caso, a pesar de la advertencia,
pulse el botón "Ejecutar".

Si el kill bit no ha sido activado (sería la situación normal
la primera vez que use esta herramienta), una ventana con el
título "Error" y el mensaje "The killbit for WEBVW.DLL is
currently UNSET. Do you want to set it?" le será mostrada.
Pulse en "Si" para activarlo (esto protegerá su PC de un
exploit para esta vulnerabilidad).

Si por el contrario, el kill bit ya ha sido activado, una
ventana con el título "Error" y el mensaje "The killbit for
WEBVW.DLL is currently SET. Do you want to remove it?" le
será mostrada. Pulse en "Si" para desactivarlo (si por alguna
razón deseara hacerlo).

Recuerde, su PC estará protegido si ACTIVA el kill bit de
WEBVW.DLL (SET killbit).

El SANS también publicó la misma herramienta para ser
ejecutada desde línea de comandos.

Más información:

Setslice Killbit Apps
http://isc.sans.org/diary.php?storyid=1742

* Sobre el kill bit de WEBVW.DLL

Por cada control ActiveX existe un único identificador de
clase llamado CLSID.

CLSID (Class identifier, o Identificador de clase), es un
identificador universal exclusivo (UUID) que identifica un
componente COM. Cada componente COM tiene su CLSID en el
registro de Windows de forma que otras aplicaciones puedan
cargarlo.

COM (Modelo de Objetos Componentes), es un modelo de
programación orientada a objetos que define cómo interactúan
los mismos con una aplicación determinada o entre distintas
aplicaciones.

En el registro de Windows, si vemos la sección
"HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Internet Explorer\
ActiveX Compatibility", nos encontramos con varios
identificadores CLSID de ActiveX que están representados por
un código extremadamente largo de letras y números entre
corchetes, por ejemplo: {00000566-0000-0010-8000-
00AA006D2EA4}.

En cada clave existe un valor llamado "Compatibility Flags".
Cuando este valor es equivalente a "1024" (o 400 en
hexadecimal), se evita que ese control se instale o ejecute
(esto hace SpywareBlaster por ejemplo, para evitar la carga
de muchos parásitos, spywares y adwares).

Habilitando el "kill bit" para "WEBVW.DLL" en el registro de
Windows, dicho objeto igual podrá acceder a su disco duro,
pero no lo podrá hacer cuando se encuentre dentro del
Internet Explorer, evitando así que una vulnerabilidad como
la detectada pueda ser utilizada maliciosamente.

NOTA: Los siguientes son los CLSID para WEBVW.DLL

{844F4806-E8A8-11d2-9652-00C04FC30871}
{E5DF9D10-3B52-11D1-83E8-00A0C90DC849}

* Más información:

Microsoft Security Advisory (926043) Vulnerability in Windows Shell Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/926043.mspx

Vulnerability Note VU#753044 Microsoft Windows WebViewFolderIcon ActiveX integer overflow
http://www.kb.cert.org/vuls/id/753044

CVE-2006-3730
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3730

Fuente:
Por Angela Ruiz
vsantivirus.com



Otras noticias de interés:

CWSS estándar para clasificación de vulnerabilidades
Sistema Común de Puntuación de Debilidades, o CWSS, pretende convertirse en la referencia a la hora de clasificar vulnerabilidades. CWSS es el continuador de CVSS, o Sistema Común de Puntuación de Vulnerabilidades, pero sigue un criterio más ava...
Alerta: Exploits para la vulnerabilidad en PDF
Se ha reportado un exploit activo para la vulnerabilidad en archivos PDF que permite la ejecución remota de código a través de la simple visualización de un archivo en ese formato. ...
Nuevo Virus Gaobot.S
Gaobot.S es un gusano con características de puerta trasera que afecta a ordenadores con sistemas operativos Windows XP/2000/NT. Gaobot.S aprovecha las vulnerabilidades RPC DCOM y WebDAV para propagarse al mayor número de ordenadores posible....
Ubuntu Home Server, una idea curiosa
Ahora que empresas como Microsoft se han lanzado a copar el mercado de los servidores domésticos algunos fans de Linux han creído conveniente demostrar las virtudes de este sistema operativo y están preparando un lanzamiento con objetivos similare...
Oracle publicará 47 parches de seguridad el próximo martes
Siguiendo con el calendario trimestral de publicación de actualizaciones de seguridad, Oracle publicará el próximo martes 13 de abril un grupo de parches que corrigen un total de 47 vulnerabilidades....
Tecnología DRM y sus efectos negativos
Un estudio de las universidades de Duke y Rice señala que suprimir la tecnología DRM de protección de datos podría ayudar a reducir los índices de piratería en el mercado....
Microsoft lucha por ingresar en el mercado de la telefonía móvil
Con gran dificultad, Microsoft está intentado ingresar al mercado de los telefonos celulares. Su primer paso fue la presentación de su sistema operativo Smartphone para una nueva generación de teléfonos móviles de tecnología avanzada, el pasado...
Proteger su información financiera
Las compras por Internet son una realidad hoy en día para muchas personas. Adquirir la despensa, los regalos y pagar las cuentas en línea se ha convertido en una forma de ahorrar tiempo y recursos para mucha gente alrededor del mundo, destacó Tome...
La hora de las LAN inalámbricas
Tras muchos años de lentísimo despegue, sólo ahora las WLAN (Wireless LAN) se están disparando, tanto en sus aspectos tecnológicos como comerciales. Gracias a la aparición de estándares que permiten velocidades de 11 a 54 Mbps, los usuarios de...
Android seguirá siendo irresistible para los píratas informáticos
Dos investigadores están a punto de lanzar AFE (Android Framework for Explotation), un marco de trabajo que permitirá desarrollar malware para Android más fácilmente....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • critica
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • webviewfoldericon
  • windows
  • xanadu
  • xfce
  • xombra