Última actualització: 22/08/2004; 21:05:06
Weblog d'en Xavi Caballé
Pàgina personal de Xavier Caballé.
"All my struggling in the world and so many dreams that don't come true"
        

ITS-IE

Nova vulnerabilitat al sistema d'ajuda de Windows

El CERT ha anunciat l'existència d'una important vulnerabilitat de l'Internet Explorer i que afecta al sistema utilitzat per l'ajuda online de Windows. En el moment de redactar aquest butlletí no hi ha encara cap actualització que corregeixi aquest problema, malgrat que estan circulant alguns exploits que s'aprofiten de la mateixa. Degut al fet que la vulnerabilitat es troba al sistema d'ajuda de Windows, aquesta vegada fins i tot aquells usuaris que no utilitzen l'Internet Explorer o el Microsoft Outlook són també vulnerables.

Microsoft Internet Explorer no valida de forma correcta l'origen del script que forma part dels fitxers CHM (Compiled Help) quan aquests són processats pels gestionadors del protocol ITS (Microsoft InfoTech Storage), que és el sistema utilitzat per l'ajuda online de Windows.

Les ajudes de Windows són una sèrie de fitxers compilats on està integrat el codi font HTML, gràfic i, opcionalment, scripts, controls ActiveX, funcions Java… Per a la visualització d'aquestes ajudes s'utilitza l'Internet Explorer mitjançant la invocació d'una URL amb els protocols its://, ms-its://, ms- itss:// o mhtml:// (entre altres).

El problema consisteix que l'Internet Explorer no aplica correctament la protecció de zona que impedeix l'execució de codi en pàgines situades en pàgines remotes. Si se li passa a l'Internet Explorer una URL del tipus mhtml:// que apunta a un fitxer no existent, es pot forçar l'execució d'un arxiu CHM remot que conté codi hostil i que serà executat com si anés un arxiu local.

La vulnerabilitat pot, per tant, ser explotada mitjançant la visita a una pàgina web o visualitzant un missatge que conté el codi per aprofitar-se de la vulnerabilitat i que provocarà l'execució automàtica del codi associat dins de la zona local, el que significarà que s'executarà amb els mateixos privilegis de l'usuari actiu en el sistema.

És important assenyalar que fins i tot aquells usuaris de Windows que no facin servir l'Internet Explorer com navegador pot veure's afectats per aquest problema. Degut al fet que, en la configuració per defecte, el sistema operatiu associa l'Internet Explorer com aplicació que gestiona aquest protocol, l'accés a un enllaç que utilitzi aquest protocol provocarà l'execució del mateix. La forma més fàcil de determinar l'aplicació associada al protocol consisteix a executar una URL del tipus mthtml://localhost a través del menú Inici->Executar.

Cucs que s'aprofiten d'aquesta vulnerabilitat

Les característiques d'aquesta vulnerabilitat, que permet l'execució de codi simplement visitant una pàgina web amb una versió vulnerable de l'Internet Explorer, la fan especialment atractiva com sistema per a la infecció i propagació de cucs. En aquests moments tenim constància de l'existència de diversos cucs que utilitzen aquesta vulnerabilitat com mecanisme de distribució.

Ja són varis els programes antivirus que detecten i identifiquen les pàgines que contenen el codi que aprofita la vulnerabilitat. Per exemple, una pàgina HTML que conté el exploit ja és identificat per diversos antivirus, tal com podem determinar mitjançant el servei Virustotal d'Hispasec Sistemas:

Sybari 7.50.1138 20040408 found [Exploit.HTML.Mht]
eTrustAV-Inoc 4641 20040209 found nothing
NOD32 1.712 20040408 found [HTML/Exploit.Mht.A]
Kaspersky 3.0 20040409 found [Exploit.HTML.Mht]
McAfee 4.2.60 20040408 found nothing
Symantec 8.0 20040408 found [Bloodhound.Exploit.6]
Panda 7.02.00 20040409 found [Exploit/MIE.CHM]
Sophos 3.77 20040408 found nothing
TrendMicro 1.00 20040406 found nothing

Els fitxers CHM que inclouen la vulnerabilitat també són identificats per diversos antivirus:

File: EXPLOIT%[1].CHM
Date: 04/09/2004 13:22:53
Sybari 7.50.1138 20040408 found [TrojanDownloader.VBS.Psyme.p]
eTrustAV-Inoc 4641 20040209 found nothing
NOD32 1.712 20040408 found nothing
Kaspersky 3.0 20040409 found [TrojanDownloader.VBS.Psyme.p]
McAfee 4.2.60 20040408 found [VBS/Psyme]
Symantec 8.0 20040408 found [Download.Trojan]
Panda 7.02.00 20040409 found nothing
Sophos 3.77 20040408 found nothing
TrendMicro 1.00 20040406 found nothing

En el cas del exploit inclòs en un fitxer CHM, Sybari, Kaspersky, McAfee i Symantec detecten la presència del codi malèvol.

Prevenció

Microsoft no ha publicat encara cap actualització que corregeixi aquest problema, de forma que la única forma d'evitar la infecció consisteix a desactivar el gestionador del protocol. Per a això cal canviar el nom de les següents claus del registre, dins de HKLM\SOFTWARE\Classes\PROTOCOLS\Handler:

  • ms-its
  • ms-itss
  • its
  • mk

És important indicar que realitzar aquest canvi pot tenir un impacte en el funcionament del sistema d'ajuda de Windows.

Una altra forma de detectar les pàgines vulnerables consisteix a disposar d'un programa antivirus convenientment actualitzat que reconegui els intents d'utilització d'aquesta vulnerabilitat.

Per a saber més

Vulnerability in Internet Explorer ITS Protocol Handler
http://www.us-cert.gov/cas/techalerts/TA04-099A.html

Vulnerability Note VU#323070: Microsoft Internet Explorer does not properly validate source of CHM components referenced by ITS protocol handlers
http://www.kb.cert.org/vuls/id/323070

Microsoft Internet Explorer ITS Protocol Zone Bypass Vulnerability
http://www.securityfocus.com/bid/9658

Prova de concepte de la vulnerabilitat
http://www.securityfocus.com/bid/9658/exploit/

Xavier Caballé
xcaballe@quands.com

© Copyright 2003-2004 Xavier Caballe. Click here to send an email to the editor of this weblog.
Last update: 22/08/2004; 21:05:06.