Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Internet Explorer 6 sigue siendo vulnerable
 
VSantivirus No. 527 - Año 6 - Lunes 17 de diciembre de 2001

Internet Explorer 6 sigue siendo vulnerable
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

El parche acumulativo publicado por Microsoft recientemente (boletín MS01-058), y anunciado en nuestro boletín 525, cierra (entre otras vulnerabilidades) un importante agujero por medio del cuál es posible ser engañados, mediante la modificación de ciertos encabezados, lo que permite la ejecución de cualquier programa, que bien podría ser un troyano, virus, etc.. 

Esta falla puede ser explotada mediante un mail en formato HTML al ser visualizado en la vista previa o al ser abierto para lectura, algo similar a lo que ocasiona la ejecución del virus Badtrans.B con solo verlo.

Si vemos las propiedades de cualquier mensaje en cualquier carpeta del Outlook Express (por ejemplo), veremos entre otros datos, uno que comienza con la etiqueta "Content-Type:".

Allí suele indicarse el tipo y formato del contenido del mensaje. Una manipulación de estos datos, es la que causa la ejecución de un archivo sin nuestro consentimiento.

Los archivos con extensión .MHT existen desde la versión 5 del Internet Explorer, y el uso más común lo vemos cuando al visualizar una página cualquiera en el Explorer, queremos grabarla en el disco duro. Si seleccionamos Archivo, Guardar como..., vemos que podemos hacerlo, entre otras opciones, como "Archivo Web, archivo único (*.mht)". Esto es práctico, ya que en un solo archivo, podemos tener todo el contenido multimedia de la página (imágenes, sonidos, etc.).

El archivo generado, aunque es solo texto, contiene todos los datos para poder ser visualizado luego correctamente. Este es un ejemplo que muestra como queda grabada nuestra página sobre el parche acumulativo: 
  From: <Guardado por Microsoft Internet Explorer 5>
  Subject: Parche acumulativo para Internet Explorer (MS01-058)
  Date: Mon, 17 Dec 2001 03:57:42 -0300
  MIME-Version: 1.0
  Content-Type: multipart/related;
          boundary="----=_NextPart_000_0000_01C186AE.FA45E280";
          type="text/html"
  X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4133.2400
                  
  This is a multi-part message in MIME format.
Además del texto, podemos ver que las imágenes (por ejemplo) son guardadas con formato MIME: 
  ------=_NextPart_000_0000_01C186AE.FA45E280
  Content-Type: image/jpeg
  Content-Transfer-Encoding: base64
  Content-Location: http://www.vsantivirus.com/logo.jpg
Esto mismo puede hacerse en un mensaje electrónico, con algunas pequeñas diferencias en el código generado.

La falla consiste en la manipulación (lógicamente, en forma malintencionada), de las etiquetas "Content-Type" de modo de ejecutar el código peligroso, por medio de falsear la verdadera extensión de los archivos.

El parche publicado por Microsoft, soluciona este problema, convirtiendo todos los tipos de archivos embebidos en los documentos MHTML que son visualizados por el Internet Explorer 6 (note que incluso los e-mail con formato son visualizados así), en archivos temporales (.TMP).

De este modo, si al presentarse la ventana de diálogo de descarga del archivo, seleccionamos la opción "Abrir" en lugar de "Grabar", al ser un archivo .TMP no tendrá un programa asociado, y por lo tanto se abrirá la ventana "Abrir con" donde se nos pide seleccionar el programa que queremos utilizar para procesar dicho archivo (asegúrese de tener desmarcada la casilla "Utilizar siempre este programa para abrir este archivo", o podrían producirse comportamientos inesperados en el funcionamiento futuro de Windows).

De este modo, archivos potencialmente peligrosos, como .EXE, .SCR o .BAT no se ejecutarán en Internet Explorer 6 luego de serle aplicado el parche, aún cuando se seleccione hacerlo específicamente.

Sin embargo, existe un tipo de archivo, también peligroso, que no es afectado por este parche.

Los archivos .HTA (Content-Type: application/hta), son ejecutados por el Microsoft HTML Application host (MSHTA.EXE). Además de existir numerosos casos de virus que se valen de esta extensión (desde el legendario BubbleBoy hasta otros realmente peligrosos), esto sigue dejando vulnerable al IE 6, o al menos no todo lo seguro que pregona el nuevo parche.

Una vieja falla (otra más)

Pero esto no es todo. Otra de las malas noticias, es que el parche tampoco corrige en el Outlook Express 6, una falla descubierta en agosto de este año.

Aún sin el parche mencionado antes, una nueva característica del OE6, es que puede impedir la apertura de archivos adjuntos potencialmente peligrosos. Pero un archivo embebido en un marco HTML en un mensaje, puede eludir esta característica.

Cuando un mensaje así es abierto o visualizado en la vista previa, se le muestra al usuario la ventana de diálogo donde debe decidir si abre o graba el archivo adjunto. Si el usuario intenta abrir el archivo, la acción falla. Sin embargo, un archivo creado en assembler, debidamente manipulado, cuya extensión sea .BAT, se ejecutará en forma inmediata. La solución es grabar siempre al disco el adjunto. O borrar todo mensaje con adjuntos.

Soluciones

Para disminuir el riesgo de ejecución de los archivos HTA, los que normalmente están asociados al "Microsoft HTML Application host" (C:\WINDOWS\SYSTEM\MSHTA.EXE), que es el que abre y ejecuta este tipo de archivos, puede quitarse la asociación por defecto a los mismos. Para ello, debemos ir a Inicio, Configuración, Opciones de carpetas, Tipos de archivos (Windows 98), o Mi PC, Menú Herramientas, Opciones de carpetas, Tipos de archivos (Windows Me). Allí buscamos "HTML Application" y pinchamos en el botón "Quitar". Luego, solo confirmamos antes de salir.

Referencias

VSantivirus No. 525 - 15/dic/01
Parche acumulativo para Internet Explorer (MS01-058)
http://www.vsantivirus.com/vulms01-058.htm

DUMBLOAD spoofing
http://www.malware.com/dumbload.html

Outlook Express 6 Attachment Security Bypass Vulnerability
http://www.securityfocus.com/bid/3271

VSantivirus No. 525 - 15/dic/01
Crítico: el gran parche de Microsoft ¿es la panacea?
http://www.vsantivirus.com/15-12-01.htm

Glosario

MIME (Multipurpose Internet Mail Extensions) - Es un protocolo que no especifica los mecanismos de transmisión o recepción de la información, sino la codificación y formato de los contenidos de los mensajes. Permite el envío y recepción de contenidos complejos tales como programas ejecutables, sonidos, imágenes, o cualquier información que no sea en esencia solo texto, sino de contenido binario. MIME clasifica los contenidos que se incluyen en los mensajes de correo según su naturaleza. En la cabecera del mensaje se añaden dos etiquetas (MIME-Version y Content-type), en la que la segunda especifica en qué grupo de la clasificación se incluiría el contenido incluido en el cuerpo del mensaje.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com 		 

Copyright 1996-2002 Video Soft BBS