Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

     

Todo sobre ADODB.Stream y como proteger su PC
 
VSantivirus No. 1458 Año 8, sábado 3 de julio de 2004

 Todo sobre ADODB.Stream y como proteger su PC
http://www.vsantivirus.com/faq-adodbstream.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy

Lo que dice Microsoft del "ADODB.Stream"

Esto es lo que explica Microsoft sobre el uso de este control ActiveX:

Un objeto de secuencia ADO (stream object), representa un archivo en memoria. El objeto contiene varios métodos para leer y escribir archivos binarios y archivos de texto.

Cuando esta funcionalidad implementada by-design (por diseño), se combina con vulnerabilidades conocidas en Microsoft Internet Explorer, un sitio de Internet podría ejecutar una secuencia de comandos en la zona de seguridad local (Mi PC). Este comportamiento se debe a que el objeto ADODB.Stream permite el acceso al disco duro cuando el objeto ADODB.Stream se aloja en el Internet Explorer.

Cualquier aplicación Web que requiera que un archivo se cargue o que se guarde en el disco duro, puede usar el objeto ADODB.Stream en Internet Explorer. Por ejemplo, si un servidor de Intranet aloja un formulario que un empleado debe descargar y luego rellenar, el objeto se utiliza para obtener el archivo y guardarlo en forma local. Después de que el usuario modifica localmente el archivo, el mismo es enviado de nuevo al servidor.

Microsoft recomienda encarecidamente utilizar otros métodos para proporcionar esta funcionalidad. Por ejemplo, se puede utilizar una aplicación o un control que requiera la confirmación del usuario para acceder deliberadamente al disco duro.

El parche recomendado por Microsoft (ver "Referencias"), crea un "kill bit" para este objeto. No hace otra cosa que aplicar la recomendación que diéramos en VSantivirus 1454 (29/jun/04), en el artículo "Microsoft culpa a los piratas, sepa como proteger su PC", http://www.vsantivirus.com/ev-29-06-04.htm

Sin embargo, debemos ser conscientes de que aún así es posible la ejecución de código (ver "Parche de Microsoft para ADODB.Stream", http://www.vsantivirus.com/parche-adodbstream.htm), por lo que debemos combinar esta solución con las aportadas más adelante, sobre la configuración del propio Internet Explorer.


Sobre el kill bit de "ADODB.Stream"

Por cada control ActiveX existe un único identificador de clase llamado CLSID.

CLSID (Class identifier, o Identificador de clase), es un identificador universal exclusivo (UUID) que identifica un componente COM. Cada componente COM tiene su CLSID en el registro de Windows de forma que otras aplicaciones puedan cargarlo.

COM (Modelo de Objetos Componentes), es un modelo de programación orientada a objetos que define cómo interactúan los mismos con una aplicación determinada o entre distintas aplicaciones.

En el registro de Windows, si vemos la sección "HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Internet Explorer\ ActiveX Compatibility", nos encontramos con varios identificadores CLSID de ActiveX que están representados por un código extremadamente largo de letras y números entre corchetes, por ejemplo: {00000566-0000-0010-8000-00AA006D2EA4}.

En cada clave existe un valor llamado "Compatibility Flags". Cuando este valor es equivalente a "1024" (o 400 en hexadecimal), se evita que ese control se instale o ejecute (esto hace SpywareBlaster por ejemplo, para evitar la carga de muchos parásitos, spywares y adwares).

Habilitando el "kill bit" para el control "ADODB.Stream" en el registro de Windows, dicho objeto igual podrá acceder a su disco duro, pero no lo podrá hacer cuando se encuentre dentro del Internet Explorer, evitando así que una vulnerabilidad como la usada para la ejecución del gusano "Scob", pueda ser utilizada maliciosamente.

Y esto es lo que realiza el parche publicado por Microsoft. Para instalarlo, puede acceder a él desde Windows Update. También puede seguir los procedimientos alternativos (que ya habíamos publicado días antes en VSAntivirus).


Parche de Microsoft

Más información:

Lo que debería saber sobre Download_Ject
http://www.microsoft.com/spain/seguridad/content/incident/download.mspx

Windows Update:
http://windowsupdate.microsoft.com/

Critical Update for Microsoft Data Access Components
Disable ADODB.Stream object from Internet Explorer (KB870669) - Español
http://www.microsoft.com/downloads/details.aspx?displaylang=
es&FamilyID=4D056748-C538-46F6-B7C8-2FBFD0D237E3

Este parche es compatible con sistemas operativos Windows 2000, NT, 2003 y XP solamente.


Procedimientos alternativos

Todos estos procedimientos son válidos cada uno por si solo, no necesita aplicarlos todos. Seleccione el más conveniente a su caso (ésta información es la misma ya proporcionada por VSAntivirus antes de la aplicación del parche oficial de Microsoft). Además, se pueden aplicar en todos los sistemas Windows (95, 98, Me, XP, etc.)

1. Uso de REGEDIT

Ejecute REGEDIT (Inicio, Ejecutar, escriba REGEDIT y pulse Enter), y busque la siguiente entrada:

HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Internet Explorer\ActiveX Compatibility
\{00000566-0000-0010-8000-00AA006D2EA4}

Agregue el siguiente valor (400 en hexadecimal):

Compatibility Flags = 400

Si no existe, le recomendamos los siguientes métodos para crear dicha clave.

2. Uso de "Kill Bit para AdobeStream" de Paolo Monti

Descargue la siguiente herramienta creada por Paolo Monti, distribuidor italiano de Nod32:

http://www.nod32.it/tools/kbado.zip

Descomprima el contenido del zip en una carpeta y haga doble clic sobre el ejecutable contenido allí. La nueva versión de esta herramienta ha sido modificada para que el "kill bit" se instale exista o no exista la clave (gracias Paolo por aceptar nuestra sugerencia ;).

3. Uso de un archivo .REG

Descargue el siguiente archivo:

http://www.videosoft.net.uy/adobeb-stream-kill-bit.reg

Haga doble clic sobre él, y luego acepte agregar su contenido al registro.


Recomendación crítica

Por las razones dadas al principio de este artículo y en el artículo "Parche de Microsoft para ADODB.Stream", http://www.vsantivirus.com/parche-adodbstream.htm, nuestra recomendación, sigue siendo configurar el Internet Explorer como se indica en el siguiente artículo:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm

Dicha configuración, previene la acción de cualquier otro código malicioso basado en ActiveX.

Un comentario final. Si bien esta última configuración desactiva también el objeto "AdobeB.stream", el mismo puede quedar activado si se visita un sitio de confianza. Por lo tanto, siga también cualquiera de los procedimientos dados antes para deshabilitar específicamente "AdobeB.stream", y de ese modo asegurarse que éste no se active en ningún sitio.


Más información

Parche de Microsoft para ADODB.Stream
http://www.vsantivirus.com/parche-adodbstream.htm

Microsoft culpa a los piratas, sepa como proteger su PC
http://www.vsantivirus.com/ev-29-06-04.htm

Todo sobre SCOB y su ataque a servidores de Internet
http://www.vsantivirus.com/faq-scob.htm

JS/Scob.A. Descarga archivos al visitar sitios Web
http://www.vsantivirus.com/js-scob-a.htm

W32/Scob.A. Infecta servidores IIS 5.0
http://www.vsantivirus.com/scob-a.htm

Back/Padodor.W. Roba información confidencial
http://www.vsantivirus.com/back-padodor-w.htm


Relacionados

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm

Cómo configurar Zone Alarm
http://www.vsantivirus.com/za.htm





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS