Mostrando mensaje 507     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1458 Año 8, sábado 3 de julio de 2004 Fecha: Sabado, 3 de Julio, 2004  15:51:54 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1458 Año 8, sábado 3 de julio de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Parche de Microsoft para ADODB.Stream 2 - Todo sobre ADODB.Stream y como proteger su PC _____________________________________________________________ 1 - Parche de Microsoft para ADODB.Stream _____________________________________________________________ http://www.vsantivirus.com/parche-adodbstream.htm Parche de Microsoft para ADODB.Stream Por Jose Luis Lopez videosoft@videosoft.net.uy Las buenas noticias son que Microsoft ha liberado un parche fuera del ciclo de actualizaciones habituales, para contrarrestar las vulnerabilidades recientemente explotadas por el código conocido como "Download.Ject", "Scob", "Toofer", etc. Las malas, que está disponible en Internet el código para aprovecharse de esta vulnerabilidad, aún después de instalado el parche. El parche impide la ejecución del control ActiveX "ADODB.Stream", que ha sido utilizado para acceder a las máquinas de los usuarios, desde máquinas de sitios ampliamente visitados, que han sido alteradas por piratas informáticos la semana pasada, tal como anunciábamos en VSAntivirus en su oportunidad. Dada la urgencia mediática creada por esta vulnerabilidad, Microsoft ha decidido adelantarse a la próxima fecha de liberación oficial de parches (segundo martes de cada mes). Puede tener más información sobre este parche, en nuestro artículo "Todo sobre ADODB.Stream y como proteger su PC", http://www.vsantivirus.com/faq-adodbstream.htm Sin embargo, como se puede comprobar en una prueba de concepto publicada en Internet, aún después que el control "ADODB.Stream" es deshabilitado, todavía es posible lanzar programas en el sistema del usuario, sin que éste deba intervenir de algún modo en el proceso, y por solo visitar un sitio de confianza. Aunque la conexión y la prueba de concepto es inocua al momento en que la probamos (abre un shell de CMD.EXE y espera a que el usuario pulse una tecla), no publicamos aquí su enlace, puesto que dicho código se encuentra en un sitio no confiable, y podría ser modificado maliciosamente sin advertencia alguna. Por lo tanto, y aún luego del parche sugerido por Microsoft (que no es otra cosa que la modificación del registro que sugerimos en VSAntivirus hace unos días atrás), seguimos aconsejando enfáticamente la configuración que describimos en nuestro artículo "Configuración personalizada para hacer más seguro el IE", http://www.vsantivirus.com/faq-sitios-confianza.htm Dicha configuración impide la ejecución de cualquier código ActiveX en sitios que no son de confianza (lo comprobamos con el exploit anteriormente mencionado). Finalmente, es bueno tener en cuenta que si bien las características del último ataque a sitios Web conocidos, podrían hacer que esta clase de ataque vuelva a repetirse, es poco probable que el mismo se haga con sitios muy conocidos, debido a que la mayoría de los que utilizan Microsoft Internet Information Services 5.0 (IIS), se han actualizado con el parche existente (ver "Todo sobre SCOB y su ataque a servidores de Internet", http://www.vsantivirus.com/faq- scob.htm) * Sugerencias: 1. Actualizar el parche publicado por Microsoft desde Windows Update, o ejecutando las herramientas y el método que sugerimos en nuestro artículo "Microsoft culpa a los piratas, sepa como proteger su PC", http://www.vsantivirus.com/ev-29- 06-04.htm y en "Todo sobre ADODB.Stream y como proteger su PC", http://www.vsantivirus.com/faq-adodbstream.htm 2. Configurar el Internet Explorer como se indica en el artículo "Configuración personalizada para hacer más seguro el IE", http://www.vsantivirus.com/faq-sitios-confianza.htm 3. Ser cauteloso a la hora de agregar sitios de confianza, al seguir los pasos que se indican en el punto anterior. 4. No seguir enlaces a sitios sugeridos en enlaces dados en mensajes de cualquier correo electrónico no solicitado, aún cuando éste provenga de conocidos. 5. Ejecutar un cortafuegos que también controle el tráfico de salida (el cortafuegos integrado de Windows XP solo controla el tráfico entrante). ZoneAlarm es un buen recurso, y su uso es gratuito para usuarios personales (ver "Cómo configurar Zone Alarm", http://www.vsantivirus.com/za.htm) 6. Utilizar antivirus y actualizarlo constantemente (sugerimos una actualización automática cada una hora). Si utiliza conexión telefónica, al menos hágalo CADA VEZ que se conecta a Internet. * Más información Todo sobre ADODB.Stream y como proteger su PC http://www.vsantivirus.com/faq-adodbstream.htm Microsoft culpa a los piratas, sepa como proteger su PC http://www.vsantivirus.com/ev-29-06-04.htm Todo sobre SCOB y su ataque a servidores de Internet http://www.vsantivirus.com/faq-scob.htm JS/Scob.A. Descarga archivos al visitar sitios Web http://www.vsantivirus.com/js-scob-a.htm W32/Scob.A. Infecta servidores IIS 5.0 http://www.vsantivirus.com/scob-a.htm Back/Padodor.W. Roba información confidencial http://www.vsantivirus.com/back-padodor-w.htm * Relacionados Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm Cómo configurar Zone Alarm http://www.vsantivirus.com/za.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Todo sobre ADODB.Stream y como proteger su PC _____________________________________________________________ http://www.vsantivirus.com/faq-adodbstream.htm Todo sobre ADODB.Stream y como proteger su PC Por Jose Luis Lopez videosoft@videosoft.net.uy * Lo que dice Microsoft del "ADODB.Stream" Esto es lo que explica Microsoft sobre el uso de este control ActiveX: Un objeto de secuencia ADO (stream object), representa un archivo en memoria. El objeto contiene varios métodos para leer y escribir archivos binarios y archivos de texto. Cuando esta funcionalidad implementada by-design (por diseño), se combina con vulnerabilidades conocidas en Microsoft Internet Explorer, un sitio de Internet podría ejecutar una secuencia de comandos en la zona de seguridad local (Mi PC). Este comportamiento se debe a que el objeto ADODB.Stream permite el acceso al disco duro cuando el objeto ADODB.Stream se aloja en el Internet Explorer. Cualquier aplicación Web que requiera que un archivo se cargue o que se guarde en el disco duro, puede usar el objeto ADODB.Stream en Internet Explorer. Por ejemplo, si un servidor de Intranet aloja un formulario que un empleado debe descargar y luego rellenar, el objeto se utiliza para obtener el archivo y guardarlo en forma local. Después de que el usuario modifica localmente el archivo, el mismo es enviado de nuevo al servidor. Microsoft recomienda encarecidamente utilizar otros métodos para proporcionar esta funcionalidad. Por ejemplo, se puede utilizar una aplicación o un control que requiera la confirmación del usuario para acceder deliberadamente al disco duro. El parche recomendado por Microsoft (ver "Referencias"), crea un "kill bit" para este objeto. No hace otra cosa que aplicar la recomendación que diéramos en VSantivirus 1454 (29/jun/04), en el artículo "Microsoft culpa a los piratas, sepa como proteger su PC", http://www.vsantivirus.com/ev-29-06-04.htm Sin embargo, debemos ser conscientes de que aún así es posible la ejecución de código (ver "Parche de Microsoft para ADODB.Stream", http://www.vsantivirus.com/parche-adodbstream.htm), por lo que debemos combinar esta solución con las aportadas más adelante, sobre la configuración del propio Internet Explorer. * Sobre el kill bit de "ADODB.Stream" Por cada control ActiveX existe un único identificador de clase llamado CLSID. CLSID (Class identifier, o Identificador de clase), es un identificador universal exclusivo (UUID) que identifica un componente COM. Cada componente COM tiene su CLSID en el registro de Windows de forma que otras aplicaciones puedan cargarlo. COM (Modelo de Objetos Componentes), es un modelo de programación orientada a objetos que define cómo interactúan los mismos con una aplicación determinada o entre distintas aplicaciones. En el registro de Windows, si vemos la sección "HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Internet Explorer\ ActiveX Compatibility", nos encontramos con varios identificadores CLSID de ActiveX que están representados por un código extremadamente largo de letras y números entre corchetes, por ejemplo: {00000566-0000-0010-8000- 00AA006D2EA4}. En cada clave existe un valor llamado "Compatibility Flags". Cuando este valor es equivalente a "1024" (o 400 en hexadecimal), se evita que ese control se instale o ejecute (esto hace SpywareBlaster por ejemplo, para evitar la carga de muchos parásitos, spywares y adwares). Habilitando el "kill bit" para el control "ADODB.Stream" en el registro de Windows, dicho objeto igual podrá acceder a su disco duro, pero no lo podrá hacer cuando se encuentre dentro del Internet Explorer, evitando así que una vulnerabilidad como la usada para la ejecución del gusano "Scob", pueda ser utilizada maliciosamente. Y esto es lo que realiza el parche publicado por Microsoft. Para instalarlo, puede acceder a él desde Windows Update. También puede seguir los procedimientos alternativos (que ya habíamos publicado días antes en VSAntivirus). * Parche de Microsoft Más información: Lo que debería saber sobre Download_Ject http://www.microsoft.com/spain/seguridad/content/incident/download.mspx Windows Update: http://windowsupdate.microsoft.com/ Critical Update for Microsoft Data Access Components Disable ADODB.Stream object from Internet Explorer (KB870669) - Español (el siguiente enlace debe ir en una sola línea) http://www.microsoft.com/downloads/details.aspx?displaylang=e s&FamilyID=4D056748-C538-46F6-B7C8-2FBFD0D237E3 Este parche es compatible con sistemas operativos Windows 2000, NT, 2003 y XP solamente. * Procedimientos alternativos Todos estos procedimientos son válidos cada uno por si solo, no necesita aplicarlos todos. Seleccione el más conveniente a su caso (ésta información es la misma ya proporcionada por VSAntivirus antes de la aplicación del parche oficial de Microsoft). Además, se pueden aplicar en todos los sistemas Windows (95, 98, Me, XP, etc.) 1. Uso de REGEDIT Ejecute REGEDIT (Inicio, Ejecutar, escriba REGEDIT y pulse Enter), y busque la siguiente entrada: HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Internet Explorer\ActiveX Compatibility \{00000566-0000-0010-8000-00AA006D2EA4} Agregue el siguiente valor (400 en hexadecimal): Compatibility Flags = 400 Si no existe, le recomendamos los siguientes métodos para crear dicha clave. 2. Uso de "Kill Bit para AdobeStream" de Paolo Monti Descargue la siguiente herramienta creada por Paolo Monti, distribuidor italiano de Nod32: http://www.nod32.it/tools/kbado.zip Descomprima el contenido del zip en una carpeta y haga doble clic sobre el ejecutable contenido allí. La nueva versión de esta herramienta ha sido modificada para que el "kill bit" se instale exista o no exista la clave (gracias Paolo por aceptar nuestra sugerencia ;). 3. Uso de un archivo .REG Descargue el siguiente archivo: http://www.videosoft.net.uy/adobeb-stream-kill-bit.reg Haga doble clic sobre él, y luego acepte agregar su contenido al registro. * Recomendación crítica Por las razones dadas al principio de este artículo y en el artículo "Parche de Microsoft para ADODB.Stream", http://www.vsantivirus.com/parche-adodbstream.htm, nuestra recomendación, sigue siendo configurar el Internet Explorer como se indica en el siguiente artículo: Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm Dicha configuración, previene la acción de cualquier otro código malicioso basado en ActiveX. Un comentario final. Si bien esta última configuración desactiva también el objeto "AdobeB.stream", el mismo puede quedar activado si se visita un sitio de confianza. Por lo tanto, siga también cualquiera de los procedimientos dados antes para deshabilitar específicamente "AdobeB.stream", y de ese modo asegurarse que éste no se active en ningún sitio. * Más información Parche de Microsoft para ADODB.Stream http://www.vsantivirus.com/parche-adodbstream.htm Microsoft culpa a los piratas, sepa como proteger su PC http://www.vsantivirus.com/ev-29-06-04.htm Todo sobre SCOB y su ataque a servidores de Internet http://www.vsantivirus.com/faq-scob.htm JS/Scob.A. Descarga archivos al visitar sitios Web http://www.vsantivirus.com/js-scob-a.htm W32/Scob.A. Infecta servidores IIS 5.0 http://www.vsantivirus.com/scob-a.htm Back/Padodor.W. Roba información confidencial http://www.vsantivirus.com/back-padodor-w.htm * Relacionados Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm Cómo configurar Zone Alarm http://www.vsantivirus.com/za.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1458 Año 8, sábado 3 de julio de 2004