Nueva vulnerabilidad en el sistema de ayuda de Windows

El CERT ha anunciado la existencia de una importante vulnerabilidad de
Internet Explorer y que afecta al sistema utilizado por la ayuda online
de Windows.

En el momento de redactar este boletín no existe todavía ninguna

actualización que corrija este problema, a pesar de que están circulando

algunos exploits que se aprovechan de la misma. Debido a que la

vulnerabilidad se encuentra en el sistema de ayuda de Windows, esta vez

incluso aquellos usuarios que no utilizan Internet Explorer o Microsoft

Outlook son también vulnerables.

Microsoft Internet Explorer no

valida de forma correcta el origen del script que forma parte de los

archivos CHM (Compiled Help) cuando éstos son procesados por los

manejadores del protocolo ITS (Microsoft InfoTech Storage), que es el

sistema utilizado por la ayuda online de Windows.

Las ayudas de

Windows son una serie de archivos compilados donde están integrado el

código fuente HTML, gráfico y, opcionalmente, scripts, controles

ActiveX, funciones Java… Para la visualización de estas ayudas se

utiliza Internet Explorer mediante la invocación de una URL con los

protocolos its://, ms-its://, ms- itss:// o mhtml:// (entre otros).

El problema consiste en que Internet Explorer no aplica correctamente la

protección de zona que impide la ejecución de código en páginas ubicadas

en páginas remotas. Si se le pasa a Internet Explorer una URL del tipo

mhtml:// que apunta a un archivo no existente, se puede forzar la

ejecución de un archivo CHM remoto que contiene código hostil y que será

ejecutado como si fuera un archivo local.

La vulnerabilidad

puede, por tanto, ser explotada mediante la visita a una página web o al

visualizar un mensaje que contenga el código que se aprovecha de la

vulnerabilidad y que provocará la ejecución automática del código

asociado dentro de la zona local. Lo que significará que se ejecutará

con los mismos privilegios del usuario activo en el sistema.

Es

importante señalar que incluso aquellos usuarios de Windows que no

utilicen Internet Explorer como navegador pueden verse afectados por

este problema. Debido a que, en la configuración por defecto, el sistema

operativo asocia Internet Explorer como aplicación que gestiona este

protocolo, el acceso a un enlace que utilice este protocolo provocará la

ejecución del mismo. La forma más fácil de determinar la aplicación

asociada al protocolo consiste en ejecutar una URL del tipo

mthtml://localhost a través del menú Inicio->Ejecutar.

Gusanos que sacan provecho de esta vulnerabilidad

Las características de esta vulnerabilidad, que permite la ejecución de

código simplemente visitando una página web con una versión vulnerable

de Internet Explorer, lo hacen especialmente atractivo como sistema para

la infección y propagación de gusanos. En estos momentos tenemos

constancia de la existencia de diversos gusanos que utilizan esta

vulnerabilidad como mecanismo de distribución.

Ya son varios los

programas antivirus que detectan e identifican las páginas que contienen

el código que aprovecha la vulnerabilidad. Por ejemplo, una página HTML

que contiene el exploit ya es identificada por diversos antivirus, tal

como podemos determinar según el sistema de monitorización 24hx7d del

laboratorio de Hispasec, son los siguientes:

Sybari ::

[Exploit.HTML.Mht]

eTrustAV-Inoc :: No detectado

NOD32 ::

[HTML/Exploit.Mht.A]

Kaspersky :: [Exploit.HTML.Mht]

Symantec ::

[Bloodhound.Exploit.6]

Panda :: [Exploit/MIE.CHM]

McAfee :: No

detectado

Sophos :: No detectado

TrendMicro :: No detectado

eTrustAV-Inoc :: No detectado

Los archivos CHM que incluyen la

vulnerabilidad también son identificados por diversos antivirus:

Sybari :: [TrojanDownloader.VBS.Psyme.p]

eTrustAV-Inoc :: No detectado

NOD32 :: No detectado

Kaspersky :: [TrojanDownloader.VBS.Psyme.p]

McAfee

:: [VBS/Psyme]

Symantec :: [Download.Trojan]

Panda :: No detectado

Sophos :: No detectado

TrendMicro :: No detectado

En el caso del

exploit incluido en un archivo CHM, Sybari, Kaspersky, McAfee y Symantec

detectan la presencia del código malévolo.

Prevención

Microsoft no ha publicado todavía ninguna actualización que corrija este

problema, por lo que la única forma de evitar la infección consiste en

desactivar el manejador del protocolo. Para ello es preciso renombrar

las siguientes claves del registro, dentro de

HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLSHandler

ms-its

ms-itss

its

mk

Es importante indicar que realizar este

cambio puede tener un impacto en el funcionamiento del sistema de ayuda

de Windows.

Otra forma de detectar las páginas vulnerables

consiste en disponer de un programa antivirus convenientemente

actualizado que reconozca los intentos de utilización de esta

vulnerabilidad.