En el momento de redactar este boletín no existe todavía ninguna
actualización que corrija este problema, a pesar de que están circulando
algunos exploits que se aprovechan de la misma. Debido a que la
vulnerabilidad se encuentra en el sistema de ayuda de Windows, esta vez
incluso aquellos usuarios que no utilizan Internet Explorer o Microsoft
Outlook son también vulnerables.
Microsoft Internet Explorer no
valida de forma correcta el origen del script que forma parte de los
archivos CHM (Compiled Help) cuando éstos son procesados por los
manejadores del protocolo ITS (Microsoft InfoTech Storage), que es el
sistema utilizado por la ayuda online de Windows.
Las ayudas de
Windows son una serie de archivos compilados donde están integrado el
código fuente HTML, gráfico y, opcionalmente, scripts, controles
ActiveX, funciones Java… Para la visualización de estas ayudas se
utiliza Internet Explorer mediante la invocación de una URL con los
protocolos its://, ms-its://, ms- itss:// o mhtml:// (entre otros).
El problema consiste en que Internet Explorer no aplica correctamente la
protección de zona que impide la ejecución de código en páginas ubicadas
en páginas remotas. Si se le pasa a Internet Explorer una URL del tipo
mhtml:// que apunta a un archivo no existente, se puede forzar la
ejecución de un archivo CHM remoto que contiene código hostil y que será
ejecutado como si fuera un archivo local.
La vulnerabilidad
puede, por tanto, ser explotada mediante la visita a una página web o al
visualizar un mensaje que contenga el código que se aprovecha de la
vulnerabilidad y que provocará la ejecución automática del código
asociado dentro de la zona local. Lo que significará que se ejecutará
con los mismos privilegios del usuario activo en el sistema.
Es
importante señalar que incluso aquellos usuarios de Windows que no
utilicen Internet Explorer como navegador pueden verse afectados por
este problema. Debido a que, en la configuración por defecto, el sistema
operativo asocia Internet Explorer como aplicación que gestiona este
protocolo, el acceso a un enlace que utilice este protocolo provocará la
ejecución del mismo. La forma más fácil de determinar la aplicación
asociada al protocolo consiste en ejecutar una URL del tipo
mthtml://localhost a través del menú Inicio->Ejecutar.
Gusanos que sacan provecho de esta vulnerabilidad
Las características de esta vulnerabilidad, que permite la ejecución de
código simplemente visitando una página web con una versión vulnerable
de Internet Explorer, lo hacen especialmente atractivo como sistema para
la infección y propagación de gusanos. En estos momentos tenemos
constancia de la existencia de diversos gusanos que utilizan esta
vulnerabilidad como mecanismo de distribución.
Ya son varios los
programas antivirus que detectan e identifican las páginas que contienen
el código que aprovecha la vulnerabilidad. Por ejemplo, una página HTML
que contiene el exploit ya es identificada por diversos antivirus, tal
como podemos determinar según el sistema de monitorización 24hx7d del
laboratorio de Hispasec, son los siguientes:
Sybari ::
[Exploit.HTML.Mht]
eTrustAV-Inoc :: No detectado
NOD32 ::
[HTML/Exploit.Mht.A]
Kaspersky :: [Exploit.HTML.Mht]
Symantec ::
[Bloodhound.Exploit.6]
Panda :: [Exploit/MIE.CHM]
McAfee :: No
detectado
Sophos :: No detectado
TrendMicro :: No detectado
eTrustAV-Inoc :: No detectado
Los archivos CHM que incluyen la
vulnerabilidad también son identificados por diversos antivirus:
Sybari :: [TrojanDownloader.VBS.Psyme.p]
eTrustAV-Inoc :: No detectado
NOD32 :: No detectado
Kaspersky :: [TrojanDownloader.VBS.Psyme.p]
McAfee
:: [VBS/Psyme]
Symantec :: [Download.Trojan]
Panda :: No detectado
Sophos :: No detectado
TrendMicro :: No detectado
En el caso del
exploit incluido en un archivo CHM, Sybari, Kaspersky, McAfee y Symantec
detectan la presencia del código malévolo.
Prevención
Microsoft no ha publicado todavía ninguna actualización que corrija este
problema, por lo que la única forma de evitar la infección consiste en
desactivar el manejador del protocolo. Para ello es preciso renombrar
las siguientes claves del registro, dentro de
HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLSHandler
ms-its
ms-itss
its
mk
Es importante indicar que realizar este
cambio puede tener un impacto en el funcionamiento del sistema de ayuda
de Windows.
Otra forma de detectar las páginas vulnerables
consiste en disponer de un programa antivirus convenientemente
actualizado que reconozca los intentos de utilización de esta
vulnerabilidad.
Además de fakes news, en internet encontramos múltiples formas de desinformación: clonación de medios de…
Sin las medidas de protección necesarias, un almacén puede convertirse en el eslabón más débil…
Adyen publica los resultados de su estudio "Estrategias para reducir el coste total de pagos",…
Del porcentaje global del 21 % se baja a un 18 % en el caso…
Entrevistamos a John Shier, CTO Field de Sophos, que hace repaso de las principales amenazas…
Desde fibratel comparten una serie de pautas para orientar la construcción de centros de datos…