| Asunto: | VSantivirus No. 1021, Año 7, Jueves 24 de abril de 2003 | | Fecha: | Jueves, 24 de Abril, 2003 15:18:02 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No. 1021, Año 7, Jueves 24 de abril de 2003
_____________________________________________________________
El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
1 - Vulnerabilidad en manipulador MHTML de Outlook Express
2 - Parche acumulativo para Internet Explorer (MS03-015)
3 - Denegación de servicio en código ASP bajo Microsoft IIS
4 - Troj/Sequel.012. Caballo de Troya de acceso remoto
5 - Sorteo de cinco licencias de Nod32
_____________________________________________________________
1 - Vulnerabilidad en manipulador MHTML de Outlook Express
_____________________________________________________________
http://www.vsantivirus.com/vulms03-014.htm
Boletín: MS03-014
Fecha: 23/abr/03
Título: Vulnerabilidad en MHTML Handler de Outlook Express
Plataforma: Windows 9x, Me, XP, NT, 2000
Productos: Microsoft Outlook Express 5.5 y 6.0
Impacto: Ejecución remota de archivos
Riesgo: Crítico
Referencia: Microsoft Security Bulletin MS03-014
Identificación en base de datos: 330994
Este parche soluciona una vieja falla en el Outlook Express,
por medio de la cual un intruso puede ejecutar un archivo en
un sistema remoto.
La vulnerabilidad es causada por un error en el manejador
MHTML, que permite procesar cualquier archivo, incluido
texto, como si fuera un HTML. De este modo es posible incluir
un script en el archivo, y ejecutarlo en la zona local (Mi
PC), con menores restricciones de seguridad.
Un usuario malicioso puede hacer esto en una página o mail
con formato, e incluirlo como un archivo en base 64 (Content-
Transfer-Encoding), el cuál se puede ejecutar mediante la
inclusión de un parámetro 'mhtml' en el URL que apunte al
archivo, comprometiendo la seguridad y los datos del usuario.
Ejemplo: open("mhtml:file://[archivo]").
MHTML (MIME Encapsulation of Aggregate HTML), es un estándar
que define la estructura MIME usada para el envío de
contenido HTML en los mensajes de correo electrónico. MIME
(Multipurpose Internet Mail Extensions), es a su vez, un
protocolo que especifica la codificación y formato de los
contenidos de los mensajes.
El manejador MHTML (MHTML URL Handler) en Windows, es parte
del Outlook Express y proporciona un tipo de URL (mhtml:) que
permite que los documentos MHTML sean abiertos desde la línea
de comandos, desde el Internet Explorer, desde el menú Inicio
(Ejecutar) o usando el explorador de Windows.
La ejecución vía Web también es posible, debido a que el
Internet Explorer utiliza el mismo manejador.
La consecuencia de un ataque exitoso, es la ejecución de un
archivo ejecutable en la máquina del usuario.
La falla no se puede explotar si el usuario visualiza un
mensaje modificado desde el Outlook Express 6 u Outlook 2002
con sus configuraciones por defecto, o si se utiliza Outlook
98 u Outlook 2000 con el parche de seguridad "Outlook Email
Security Update".
La solución es aplicar el parche en forma manual o desde
Windows Update:
http://www.microsoft.com/windows/ie/downloads/critical/330994
/default.asp
Para aplicar el parche se requiere tener instaladas
previamente las siguientes versiones de Outlook Express:
- Outlook Express 5.5 Service Pack 2 (con Internet Explorer
5.5 Service Pack 2 en Windows 98 SE, Windows Millenium,
Windows NT 4.0 Service Pack 6a, Windows 2000 Service Pack 2 y
Windows 2000 Service Pack 3).
- Outlook Express 6.0 (con Windows XP Gold)
- Outlook Express 6.0 Service Pack 1 (con Internet Explorer
6.0 Service Pack 1 en Windows 98 SE, Windows Millenium,
Windows NT 4.0 Service Pack 6a, Windows 2000 Service Pack 2,
Windows 2000 Service Pack 3, y Windows XP Service Pack 1)
Para saber la versión del OE instalada, diríjase al menú
Ayuda, Acerca de Microsoft Outlook Express.
Más información y descarga de los parches:
http://www.microsoft.com/technet/security/bulletin/ms03-
014.asp
También:
http://windowsupdate.microsoft.com/
Más información:
http://support.microsoft.com/?kbid=330994
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
____________________________________________________________
2 - Parche acumulativo para Internet Explorer (MS03-015)
_____________________________________________________________
http://www.vsantivirus.com/vulms03-015.htm
Boletín: MS03-015
Fecha: 23/abr/03
Título: Parche acumulativo para Internet Explorer (MS03-015)
Plataforma: Windows 9x, Me, XP, NT, 2000
Productos: Microsoft Internet Explorer
Impacto: Ejecución remota de archivos locales
Riesgo: Crítico
Referencia: Microsoft Security Bulletin MS03-015
Identificación en base de datos: 813489
Este parche acumulativo de abril de 2003, elimina todas las
vulnerabilidades previas del Internet Explorer, y
adicionalmente corrige cuatro nuevas. No es necesario ningún
parche anterior para instalarlas en las siguientes versiones
del sistema operativo:
Windows XP SP1 64-bit Edition
Windows XP SP1
Windows XP
Windows 2000 SP3
Windows NT 4.0 SP6A
Windows Millennium Edition (Windows ME)
Windows 98 SE
Las nuevas vulnerabilidades eliminadas son:
- Error de límites en "urlmon.dll"
Un error de límites en "urlmon.dll" ocasiona que ciertos
parámetros sean verificados incorrectamente. Un usuario
malicioso puede utilizar de forma premeditada una página web
o correo electrónico HTML, para causar un desbordamiento de
búfer y ejecutar código en forma arbitraria con los
privilegios del usuario.
- Revelación de información mediante robo de archivos
El archivo de control de envío de archivos, posee un error en
la manera en que se manejan las solicitudes para cargar
archivos. Esto permite que una solicitud sea procesada sin la
interacción del usuario. Un atacante podría obtener de este
modo archivos del sistema del usuario, simplemente haciendo
que éste visite en su sitio Web, una página maliciosamente
construida. Para que esto tenga éxito, el archivo "robado" no
tendría que estar en uso, y además se debe saber su nombre y
ubicación.
- Error en la autenticación de plug-ins de terceros
Existe un error en el método de autenticación al invocar
plug-ins de terceros, y los parámetros pasados en el URL al
archivo del plug-in no son chequeados apropiadamente. Un
usuario malicioso puede aprovecharse de esto para construir
una página con un enlace a archivos de terceros, construido
de tal manera que le permita ejecutar scripts en el sistema
de la víctima, con los privilegios de la zona local ("Mi
PC").
- Revelación de información
Hay una vulnerabilidad en la manera que se muestran ciertos
diálogos modales. Normalmente, cuando se abre un cuadro de
diálogo modal, la aplicación se detiene y queda en pausa
hasta que se selecciona una opción o se pincha en un botón.
Un error al no validar correctamente ciertos parámetros
entregados en una hoja de estilo, puede permitir a un usuario
malicioso leer archivos del sistema local, haciendo que la
víctima visite una página Web especialmente construida. Se
requiere saber el nombre y ubicación del archivo
correspondiente.
Todas estas vulnerabilidades también pueden ser explotadas
por medio de un correo electrónico con código HTML, al
visualizarse el mensaje en la máquina de la víctima. Esto no
funciona si el usuario utiliza Outlook Express 6 u Outlook
2002 con sus configuraciones por defecto, o si se utiliza
Outlook 98 u Outlook 2000 con el parche de seguridad "Outlook
Email Security Update".
El parche también configura el Kill Bit para el control
ActiveX "plugin.ocx" (el "kill bit" evita que se ejecute
automáticamente dicho control), y además corrige un error en
la forma en que la información de ayuda es mostrada en la
zona local al usarse el Internet Explorer 6.0 SP1.
La solución es aplicar el parche en forma manual o desde
Windows Update:
http://www.microsoft.com/windows/ie/downloads/critical/813489
/default.asp
Más información y descarga de los parches:
http://www.microsoft.com/technet/security/bulletin/ms03-
015.asp
También:
http://windowsupdate.microsoft.com/
Más información:
http://support.microsoft.com/?kbid=813489
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
3 - Denegación de servicio en código ASP bajo Microsoft IIS
_____________________________________________________________
http://www.vsantivirus.com/vul-asp-iis.htm
Denegación de servicio en código ASP bajo Microsoft IIS
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
IIS (Internet Information Server), es el servidor web de
Microsoft. Dicho servidor soporta Active Server Pages o ASP.
Esta tecnología permite realizar páginas WEB dinámicas.
Cuando un navegador solicita una página ASP, el intérprete la
genera en el servidor y visualiza el resultado en un formato
HTML.
Para ello se utilizan lenguajes de script como VBScript, etc.
Esto incluye el uso de objetos, uno de los cuáles (Response),
contiene la función vulnerable.
Esta función (Response.AddHeader()), puede aceptar un
parámetro más extenso del que está preparada a recibir (un
máximo de 350,000 caracteres o bytes). Si supera esa cantidad
se produce un desbordamiento de búfer, lo que ocasiona el
bloqueo del intérprete ASP (denegación de servicio).
Una solicitud posterior reiniciará al intérprete ASP, pero
toda la información de solicitudes anteriores se perderá, y
se mostrarán mensajes de error al usuario hasta que se limpie
el caché (si está activada dicha opción en el servidor).
Dependiendo del modo en que se ejecute ASP ("in-progress" en
lugar de "isolated"), se puede producir un bloqueo del propio
servidor IIS, con el consecuente reinicio en caso de ser la
versión 5.0 o 5.1 la instalada.
Son vulnerables las versiones 4.0, 5.0 y 5.1 de IIS y ASP
3.0.
No existe aún una solución disponible.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
4 - Troj/Sequel.012. Caballo de Troya de acceso remoto
_____________________________________________________________
http://www.vsantivirus.com/sequel-012.htm
Nombre: Troj/Sequel.012
Tipo: Caballo de Troya de acceso remoto
Alias: Alor, Bck/Alor, Troj/Alor, Win32/Sequel.012,
Backdoor.Sequel.012, BackDoor-ATG, Backdoor.W32/ATG
Plataforma: Windows 32-bit
Tamaños server: 13,284 bytes (mínimo, ver descripción)
Fecha: 21/abr/03
Este troyano permite el acceso remoto a la máquina de un
usuario, con la posibilidad de obtener información
confidencial y realizar acciones en forma remota.
Su instalación no es notoria, ya que no se muestran mensajes
de ninguna clase.
El troyano es parte de una herramienta que permite configurar
el servidor (la parte que recibe la víctima), de modo que sus
parámetros pueden ser modificados, incluido su tamaño.
Por defecto abre el puerto de comunicaciones TCP/12345, pero
este es un parámetro más del editor.
También se puede seleccionar el directorio de instalación,
entre las variables WinDir o SysDir (por defecto c:\windows o
c:\windows\system).
Otros parámetros modificables, son el nombre del archivo
instalador (por defecto "shell32exec.exe"), la clave del
registro (por defecto "ctfmon.exe"), un UIN de ICQ para
notificar su acción (por defecto "50900072"), el nombre de la
víctima (para identificarla más fácilmente entre otras
máquinas infectadas), el puerto (por defecto "12345"), y una
contraseña para acceder como único usuario a la máquina
infectada (de lo contrario, cualquiera que tenga la parte
cliente del troyano podrá hacerlo).
Otras opciones son la posibilidad de comprimir el ejecutable
con la utilidad "upx.exe" desde el mismo editor, o la de
agregar cualquier cantidad de KBs al archivo resultante (un
mínimo de 13,824 bytes comprimido con UPX, pero se pueden
agregar los bytes que se deseen, 100 Kb más por defecto). Los
espacios vacíos agregados al final del código corresponden al
código ASCII de espacio (20h).
No posee rutina de propagación y suele distribuirse
manualmente, generalmente bajo la premisa de que es una
inocente utilidad. Ayuda a esto la posibilidad de renombrarlo
y sobre todo de cambiar de tamaño.
Los canales de distribución más usados son el correo
electrónico, listas de noticias (newsgroups), canales de IRC,
y redes P2P como KaZaa y otros.
Algunas de las acciones disponibles para el atacante:
Abrir el Bloc de notas
Abrir el Internet Explorer
Abrir y cerrar la unidad de CD
Activar y desactivar el sonido (altavoces)
Enviar información de la computadora y del usuario
Forzar el apagado de la computadora
Habilitar y deshabilitar la combinación CTRL+ALT+DEL
Maximizar y minimizar las ventanas
Recolectar y guardar información de la computadora
El troyano se copia en c:\windows o c:\windows\system (por
defecto con el nombre de "shell32exec.exe").
La clave del registro modificada para autoejecutarse en cada
reinicio de Windows, es la siguiente:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Por defecto, utiliza los siguientes valores (se da solo como
ejemplo, ya que puede ser modificado al editar el servidor):
ctfmon.exe = shell32exec.exe
* Reparación manual
Nota: Recomendamos utilizar un programa tipo firewall
(cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá
la conexión de este y cualquier otro troyano con Internet,
así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un
excelente cortafuegos, también impide la ejecución de
cualquier adjunto con posibilidades de poseer virus (sin
necesidad de tener que actualizarlo con cada nueva versión de
un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
* Antivirus
Para la limpieza de este troyano, solo actualice sus
antivirus con las últimas definiciones, y ejecútelos en modo
escaneo, revisando todos sus discos. Luego borre los archivos
detectados como infectados.
Si usted utiliza su PC, o pertenece a una organización que
por su naturaleza exige ser totalmente segura, se recomienda
borrar todo el contenido del disco duro, reinstalar de cero
el sistema operativo, y recuperar sus archivos importantes de
copias de respaldo anteriores.
Luego cambie todas sus contraseñas, incluso la de otros
usuarios a los que tenga acceso desde su computadora.
En el caso de una empresa con redes corporativas, contacte
con su administrador para tomar las acciones necesarias a fin
de cambiar todas las claves de acceso, así como reinstalar
Windows en todas las computadoras.
Esta es la única manera segura de no comprometer su seguridad
ante los posibles cambios realizados por el troyano.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba
REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+"
hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha,
bajo la columna "Nombre", busque y borre la entrada del
troyano (puede tener cualquier nombre, apunte el nombre del
ejecutable borrado por el antivirus en los pasos anteriores,
para localizar la entrada correcta).
4. Use "Registro", "Salir" para salir del editor y confirmar
los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema,
Reiniciar).
* Información adicional
* Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y
además visualizar aquellos con atributos de "Oculto", proceda
así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú
'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u
'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de
archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los
archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos
los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',
MARQUE 'Mostrar todos los archivos y carpetas ocultos' y
DESMARQUE 'Ocultar archivos protegidos del sistema
operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
* Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP,
para poder eliminar correctamente este virus de su
computadora, deberá deshabilitar antes de cualquier acción,
la herramienta "Restaurar sistema" como se indica en estos
artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
5 - Sorteo de cinco licencias de Nod32
_____________________________________________________________
http://www.vsantivirus.com/sorteo.htm
Sorteo de cinco licencias de Nod32
IMPORTANTE: El próximo sorteo será el viernes 25 de abril de
2003, ya que por ser feriado, el viernes 18 de abril no se
realizó el sorteo anunciado.
* Sorteos realizados:
1. 04/abr/03 - David León Magaña (México)
2. 11/abr/03 - Miguel Dominguez (España)
* Formulario de inscripción
1. Para participar en el sorteo de las tres licencias
restantes del antivirus Nod32 ingrese su dirección
electrónica, nombre y país en el formulario de la siguiente
página:
http://www.vsantivirus.com/sorteo.htm
2. En un plazo no mayor de 12 horas, recibirá un número
generado al azar con el que participará. Dicho número es
único y será válido hasta la finalización del sorteo. Sin
embargo, se aceptará solo un acierto por número.
3. Cada fin de semana hasta completar el sorteo de las cinco
licencias, todo número coincidente con las cifras finales del
primer premio del sorteo semanal de la Lotería Uruguaya
(http://www.loteria.gub.uy/default.htm), se hará acreedor de
la licencia válida por un año de un paquete personal del
Antivirus Nod32, cedido a VSAntivirus por Ontinet.com, S.L,
distribuidor exclusivo en España del mismo.
4. En caso de no coincidir ningún número con el primer
premio, se hará acreedor el más cercano al mismo y se
publicará su nombre en nuestro sitio. Para evitar el SPAM, no
se mostrará su dirección de correo completa.
5. El ganador será avisado de los pasos siguientes para
hacerse de su premio. Su número no participará en el resto de
los sorteos hasta completar los cinco paquetes sorteados.
6. Podrán participar todos los suscritos a nuestro boletín, y
no se enviará más de un número por dirección suscrita.
7. Si la dirección electrónica utilizada no coincide con la
de un usuario registrado, no será enviado ningún número para
participar. Asegúrese de que la dirección es la misma que
figura al pie de cada boletín, donde dice : "Este boletín es
enviado a: [aquí va su dirección]"
8. El próximo sorteo será el viernes 25 de abril de 2003
(Nota: por ser feriado, el viernes 18 de abril no se realizó
el sorteo anunciado).
Más información:
Festejamos los 1000 regalando cinco licencias de Nod32
http://www.vsantivirus.com/sorteo-1000.htm
¡Ya hay otro feliz poseedor del antivirus Nod32!
http://www.vsantivirus.com/ganadores.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Use regularmente un programa antivirus (nosotros siempre
recomendamos no confiar en uno solo, pero usar más de uno no
significa que debamos tenerlos a todos instalados,
simplemente ejecutamos esos antivirus en su opción de
escaneo, sobre la carpeta que contenga los archivos a
revisar). Y por supuesto, de nada vale usar algún antivirus
si no lo mantenemos actualizado con los upgrades, updates o
add-ons correspondientes. Actualmente, las actualizaciones
son diarias (AVP, Panda y otros) o al menos semanales. No
existen los "virus demasiados nuevos y sin antídotos", la
reacción de las casas de antivirus es inmediata en todos los
casos. Pero mejor pregúntese, si la suya también lo es a la
hora de actualizarse.
2) No abrir ningún mensaje ni archivo recibido a través del
correo electrónico de fuentes desconocidas o muy poco
conocidas. En el caso de personas conocidas, se deben
igualmente tomar las precauciones correspondientes.
Asegurarse con esa persona del envío ("Melissa" y otros
pueden ser enviados por conocidos que ignoran estar mandando
el virus en sus mensajes), y nunca ejecutarlos, sino
guardarlos en una carpeta temporal y pasarle a esa carpeta
dos o tres antivirus actualizados antes de tomar la opción de
ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante
cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Estar informado de cómo operan los virus, y de las
novedades sobre estos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No bajar nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceder como los archivos
adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres
antivirus actualizados antes de optar por ejecutarlos o
abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.-
_____________________________________________________________
Visite diariamente nuestra página. Puede bajar de allí las
versiones de evaluación actualizadas de los antivirus más
usados o que consideramos por nuestra experiencia más
confiables. No mantenemos ninguna relación comercial con
ninguna empresa productora de antivirus. El criterio de
selección solo pasa por nuestra experiencia diaria con
usuarios y clientes, a los que asesoramos y damos servicio
técnico.
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
También puede enviar un mensaje vacío a estas direcciones:
Altas: vsantivirus-alta@listas.vsantivirus.com
Bajas: vsantivirus-baja@listas.vsantivirus.com
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
VSantivirus No. 1021, Año 7, Jueves 24 de abril de 2003
|
VSantivirus No. 10
Responder a este mensaje
