testhta.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}

En ese caso, tanto el Explorador de Windows como el IE, no mostrarán la extensión CLSID (la larga lista de números y letras después del .txt), sino solamente la extensión .TXT.

Por lo tanto, esto es lo que veríamos en la ventana de Windows:

testhta.txt

Esta identificación CLSID corresponde a la de los objetos .HTA, por lo que se verá en las propiedades, en tipo de archivo, como "HTML Application". Y no solo eso, sino que si ejecutamos ese archivo (o sea, hacemos doble clic sobre él), el mismo se ejecutará como tal (como un .HTA) y no como un archivo de texto.

Es que los archivos HTA, normalmente están asociados al "Microsoft HTML Application host", utilidad que generalmente encontramos en C:\WINDOWS\SYSTEM\MSHTA.EXE, y que es el programa que abre y ejecuta este tipo de archivos.

Algunos escenarios maliciosos podrían aprovecharse de esto, dejando scripts peligrosos, en recursos compartidos, o enviándolos en archivos adjuntos a través del correo electrónico.

La solución dada por Guninski, es la de no hacer doble clic sobre ningún archivo en el Explorador de Windows ni en el Internet Explorer.

En su sitio (http://www.guninski.com/testhta1.zip) hay una demostración de esta vulnerabilidad.

Por su parte, Microsoft (al que se le reportó el problema el pasado 11 de abril), aún no ha dado una respuesta oficial al tema.

Finalmente, y luego de haber visto los principales detalles de esta vulnerabilidad, creemos interesante sacar algunas conclusiones.

Primero, no se han reportado a la fecha casos de que esta falla haya sido explotada malignamente (aún).

Segundo, la solución de no hacer doble clic sobre ningún archivo, nos suena tal vez alarmista (aunque a no dudarlo, segura, tanto como olvidarnos de Windows, y ejecutar solo programas bajo DOS). Y lo que es más importante, también es poco educativa. Lo correcto debería ser: no hacer doble clic sobre ningún archivo recibido que usted no solicitó.

Tal vez para un usuario con cierta experiencia, la falta del icono clásico de todo archivo .TXT (un archivo de texto, en este ejemplo), o la descripción como "HTML Application" en la columna "Tipo" si tenemos la vista seleccionada como "Detalles" (también en este ejemplo), debería convertirse en suficiente motivo para sospechar.

Más allá de ello, y pensando no solo en los que puedan tener a esta altura cierta experiencia, hay algo que ya debería ser muy evidente: no debemos abrir JAMAS, bajo ningún concepto, archivos adjuntos no solicitados.

A pesar de todas las advertencias, la ejecución de este tipo de código, es hoy por hoy, el principal culpable del ingreso de código malicioso a nuestra computadora. Y esta vulnerabilidad, no agrega nada nuevo a esta historia, más allá de una nueva posibilidad de engañarnos.

En el artículo de Ignacio Sbampato que mencionamos antes (¿Extensiones de Archivo? ¿Y eso qué es?), se habla por ejemplo de los archivos .SHS, los que por defecto tampoco son visualizados por Windows. Esto permite que virus como el LIFE_STAGES (VBS/Stages), puedan engañarnos para poder ser ejecutados en nuestra PC.

Es que, en definitiva, cómo ya dijo alguien en una lista de seguridad, advertir que hacer doble clic sobre un archivo desconocido puede ser peligroso, es casi lo mismo que decir que darnos con un martillo en los dedos nos va a doler.

Sin embargo, la mayoría de los usuarios se siguen golpeando los dedos, y siguen abriendo archivos que no han solicitado.

Educar una y otra vez sobre el no hacer esto último, debería ser la más importante de las lecciones dejadas por esta vulnerabilidad.

Más información:
http://www.guninski.com/clsidext.html

Demostración:
http://www.guninski.com/testhta1.zip


Ver también:

VSantivirus No. 147
02/dic/00 - ¿Extensiones de Archivo? ¿Y eso qué es?

VSantivirus No. 110
19/jun/00 - Virus: VBS/Stages.A