Mostrando mensaje 511     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1462 Año 8, miércoles 7 de julio de 2004 Fecha: Miercoles, 7 de Julio, 2004  15:41:11 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1462 Año 8, miércoles 7 de julio de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Shell.Application, burla el parche de Microsoft 2 - Sobre las zonas de seguridad en Windows _____________________________________________________________ 1 - Shell.Application, burla el parche de Microsoft _____________________________________________________________ http://www.vsantivirus.com/vul-shellapplication.htm Shell.Application, burla el parche de Microsoft Por Jose Luis Lopez videosoft@videosoft.net.uy En nuestro artículo "Parche de Microsoft para ADODB.Stream" ( http://www.vsantivirus.com/parche-adodbstream.htm ), comentábamos que aún después que el control "ADODB.Stream" es deshabilitado por dicho parche, todavía es posible lanzar programas en el sistema del usuario, sin que éste deba intervenir en el proceso, simplemente visitando un sitio Web. El exploit que permite utilizar esta vulnerabilidad, ya está disponible en Internet, y existen varios ejemplos que podrían ser utilizados maliciosamente en próximos ataques provocados por algún nuevo gusano o troyano. Con esta debilidad, el Microsoft Internet Explorer puede habilitar la ejecución de documentos HTML maliciosos, permitiendo la ejecución de un script embebido en ellos. Este script puede alterar la configuración del registro, dejando abierta la posibilidad de otra clase de ataques. Así, en conjunción con otras vulnerabilidades conocidas, es posible la ejecución de cualquier programa en forma remota. Por ejemplo, es posible alterar el registro para permitir que vulnerabilidades previamente parchadas, sean explotables otra vez. De este modo, usted podría confiarse en estar protegido luego de instalar las últimas actualizaciones y parches respectivos, incluidas las que solucionaban el problema del objeto ADODB.Stream (ver "Todo sobre ADODB.Stream y como proteger su PC", http://www.vsantivirus.com/faq-adodbstream.htm ) Para explotar esto, se requiere el uso de otras vulnerabilidades para redireccionar el navegador a la Zona Local o Mi PC por ejemplo, donde las restricciones son mínimas (vea "Sobre las zonas de seguridad en Windows", http://www.vsantivirus.com/zonas-ie.htm). Esto puede explotarse de múltiples maneras, tanto visitando una página infectada con un código parecido al del gusano "Scob", o a través de mensajes de correo electrónico con formato HTML, enviados por cualquier otro gusano. De este modo, un ataque del tipo "Cross-Site-Scripting" (la posibilidad de introducir en el campo de un formulario o código embebido en una página, un script malicioso), o vulnerabilidades que permiten inyectar código en documentos HTML, proporcionarían un eficaz mecanismo de ataque en usuarios confiados. Existen múltiples pruebas de concepto de este tipo de ataque. Una manera de evitar que un registro previamente parchado, vuelva a ser vulnerable, es aplicar el "Kill Bit" al objeto ActiveX conocido como "Shell.Application". Este objeto permite instalar y ejecutar programas (aún después de aplicar el "Kill Bit" puede ser usado, pero ya no desde el Internet Explorer). Cómo explicamos en "Todo sobre ADODB.Stream y como proteger su PC", http://www.vsantivirus.com/faq-adodbstream.htm , al activar el "kill bit" a un objeto ActiveX, se evita que ese control se instale o ejecute. Para ello debemos modificar el valor "Compatibility Flags" con un valor de 400 (en hexadecimal). La vulnerabilidad en el objeto "Shell.Application" fue descubierta por "http-equiv" de Malware.com, y ya tiene diez meses de reportada a Microsoft. La reciente atención prestada por la industria y los medios al ataque basado en el control "ADODB.Stream", hace que dicha debilidad haya sido nuevamente tenida en cuenta. No existe una solución eficaz de Microsoft a la misma al momento actual. Son vulnerables Microsoft Internet Explorer 5.5, 5.5 SP1, 5.5 SP2, 6.0, 6.0 SP1, con todos los parches actualizados. Para minimizar los riesgos que implica el objeto "Shell.Application", y mientras Microsoft no publique un parche adecuado, estas son las soluciones sugeridas: * Aplicación del "Kill Bit" a "Shell.Application" Todos estos procedimientos son válidos cada uno por si solo. Seleccione el más conveniente a su caso. 1. Uso de REGEDIT Ejecute REGEDIT (Inicio, Ejecutar, escriba REGEDIT y pulse Enter), y busque la siguiente entrada: HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Internet Explorer\ActiveX Compatibility \{00000566-0000-0010-8000-00AA006D2EA4} Agregue el siguiente valor (400 en hexadecimal): Compatibility Flags = 400 Si no existe, dicha clave, le recomendamos el siguiente método para crear dicha clave. 2. Uso de un archivo .REG Descargue el siguiente archivo: http://www.videosoft.net.uy/ie-shellapp-adob-hta.reg Haga doble clic sobre él, y luego acepte agregar su contenido al registro. Nota: Este registro modifica también el "kill bit" de ADODB.Stream, y el valor "Content Type \application/hta", para prevenir la ejecución de código en cualquier mensaje de correo electrónico malicioso. Si también estos dos cambios los desea hacer manualmente, debe crear la siguiente clave (Nota *): HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Internet Explorer\ActiveX Compatibility \{00000566-0000-0010-8000-00AA006D2EA4} "Compatibility Flags"=dword:0000040 Y eliminar la clave "application/hta" de la siguiente rama (Nota *): HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MIME \Database\Content Type\application/hta Nota * : Todos esos cambios ya lo realiza el registro "ie- shellapp-adob-hta.reg" Tenga en cuenta que esta modificación del registro, impedirá el funcionamiento de algunos scripts HTA, utilizados por algunos programas. Sin embargo, usted podrá seguir utilizando la mayoría de los archivos .HTA ejecutados desde Windows, normalmente. "Shell.Application" es utilizado comúnmente para la administración de algunos sistemas a través de scripts de Visual Basic o Windows Scripting Host (WSH). Si usted posee un sitio Web instalado en su computadora, aplicar estos cambios, podría causarle algún problema. Si ello es así, utilice el siguiente .REG para deshacer los cambios anteriores (en "Shell.Application" y HTA solamente). http://www.videosoft.net.uy/restore-ie-shellapp-hta.reg * Recomendación crítica Además de los cambios mencionados, y para prevenir cualquier futuro ataque de código malicioso que explote otras vulnerabilidades basadas en ActiveX, aconsejamos configurar el Internet Explorer como se indica en el siguiente artículo: Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm Nota: Tenga en cuenta que de todos modos es crítico realizar la configuración para activar el "kill bit" mencionada antes. * Referencias: THE INSIDER VULNERABILITY STILL WORKS AFTER TODAY'S PATCH http://www.securityfocus.com/archive/1/367881 THE VULNERABILITY STILL WORKS AFTER TODAY'S PATCH http://www.securityfocus.com/archive/1/367878 'Zero-Day' Internet Explorer Flaw Detected http://www.eeye.com/html/research/alerts/AL20040610.html * Más información Todo sobre ADODB.Stream y como proteger su PC http://www.vsantivirus.com/faq-adodbstream.htm Parche de Microsoft para ADODB.Stream http://www.vsantivirus.com/parche-adodbstream.htm Microsoft culpa a los piratas, sepa como proteger su PC http://www.vsantivirus.com/ev-29-06-04.htm Todo sobre SCOB y su ataque a servidores de Internet http://www.vsantivirus.com/faq-scob.htm JS/Scob.A. Descarga archivos al visitar sitios Web http://www.vsantivirus.com/js-scob-a.htm W32/Scob.A. Infecta servidores IIS 5.0 http://www.vsantivirus.com/scob-a.htm Back/Padodor.W. Roba información confidencial http://www.vsantivirus.com/back-padodor-w.htm * Relacionados Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm Cómo configurar Zone Alarm http://www.vsantivirus.com/za.htm Sobre las zonas de seguridad en Windows http://www.vsantivirus.com/zonas-ie.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Sobre las zonas de seguridad en Windows _____________________________________________________________ http://www.vsantivirus.com/zonas-ie.htm Sobre las zonas de seguridad en Windows Por Jose Luis Lopez videosoft@videosoft.net.uy Estas son las zonas de seguridad que Windows maneja en el registro: Zona 0 = Mi PC (nuestro equipo) Zona 1 = Intranet local (sitios Web de la red local) Zona 2 = Sitios de confianza (aquellos que sabemos seguros) Zona 3 = Internet (todos los sitios que no estén en las otras zonas) Zona 4 = Sitios restringidos (sitios que sabemos peligrosos) Si selecciona las opciones de configuración de seguridad (en el Panel de control o en Herramientas del IE, Propiedades de Internet, Seguridad), verá que tiene la posibilidad de actuar sobre la configuración de las zonas conocidas como Internet (Zona 3), Intranet local (Zona 1), Sitios de confianza (Zona 2) y Sitios restringidos (Zona 4). Pero no hay opciones para actuar en la crítica zona reservada para la ejecución local en su equipo (Zona 0). Para proceder a cambiar esta configuración, deberá utilizar el editor del registro de Windows. Para ello, desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter. Luego, en el panel izquierdo abra la siguiente rama, pulsando en el símbolo + hasta abrir la última carpeta de la rama, la llamada '0': HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Internet Settings \Zones \0 Pulse sobre la carpeta "0" para abrirla, y en el panel de la derecha, bajo la columna "Nombre", haga doble clic sobre el valor "Flags". Se abrirá la ventana "Editar valor DWORD". Allí, en "Información del valor" (Base 'Hexadecimal'), cambie el "21" por un "1" y seleccione "Aceptar". En la columna "Datos" debería quedar algo como "0x00000001 (1)" Salga del editor del registro (menú "Registro", "Salir"). Ahora, si selecciona las zonas de seguridad en el Internet Explorer (Herramientas, Opciones de Internet, Seguridad), deberían aparecer todas las zonas, incluida "Mi PC". Si por algún motivo quisiera hacer que "Mi PC" volviera a quedar oculto, solo repita el procedimiento anterior, volviendo a colocar el valor "21" en lugar de "1" en "Flags". De aquí en más, puede seleccionar el botón "Nivel Personalizado" y modificar los valores críticos (sugerimos desactivar la "Secuencia de comandos ActiveX" bajo "Automatización"), cómo se indica en "Configuración personalizada para hacer más seguro el IE", http://www.vsantivirus.com/faq-sitios-confianza.htm. * Relacionados: Configuración personalizada para hacer más seguro el IE http://www.vsantivirus.com/faq-sitios-confianza.htm Shell.Application, burla el parche de Microsoft http://www.vsantivirus.com/vul-shellapplication.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1462 Año 8, miércoles 7 de julio de 2004