Los Xtras de Shockwave Provocan una Amenaza de Seguridad

Los xtras de Shockwave que son los responsables de una amenaza de seguridad que podría terminar en la ejecución de código malicioso por parte de un atacante.

Sergio Méndez Galindo
Sergio Méndez Galindo
17 de January · 563 palabras.
La descripci贸n de la nota de seguridad VU#519137 nos indica que Adobe Flash Player instala Xtras sin consentimiento ni informaci贸n al respecto.
El programa instala Xtras o extras autom谩ticamente, estos est谩n firmados digitalmente por Adobe o Macromedia, lo que puede provocar que un atacante ataque vulnerabilidades de los xtras m谩s antiguos.
DESCRIPCI脫N
Adobe Macromedia Shockwave Player es un software que ejecuta contenido activo en webs dise帽adas con Macromedia o Adobe Director. El reproductor Shockwave est谩 disponible como un plug-in para todos los navegadores web excepto Internet Explorer. En este caso la aplicaci贸n se ejecuta en forma de comando ActiveX.
Cuando un v铆deo de Shockwave intenta emplear un Xtra, el programa lo descargar谩 e instalar谩 de forma autom谩tica si este est谩 firmado digitalmente por la empresa. Esto sucede sin informar de forma alguna al usuario. Como la direcci贸nde descarga de los xtras est谩 escrita en la propia pel铆cula, esto puede dar la opci贸n a un hacker de hacer de host para la versi贸n anterior del complemento vulnerable y seguir explotando su fallo de seguridad cuando un video es reproducido.
IMPACTO
Logrando convencer a un usuario para ejecutar un contenido que trabaje con dicha aplicaci贸n (por ejemplo una p谩gina web o un mensaje (o archivo adjunto) de correo electr贸nico v铆a HTML , un atacante puede ser capaz de ejecutar c贸digo arbitrario con los privilegios del usuario (si el usuario en cuesti贸n posee privilegios de administraci贸n el impacto puede ser muy grande)
SOLUCI脫N
A煤n no conocemos soluciones a este problema, sin embargo se pueden aplicar algunas acciones para minimizar el riesgo:
1. DESHABILITAR EL CONTROL ACTIVEX PARA INTERNET EXPLORER
El control activeX de Shockwave puede ser deshabilitado asignando un bit de cierre en las siguientes entradas del registro:

{166B1BCA-3F9C-11CF-8075-444553540000}
{233C1507-6A77-46A4-9443-F871F945D258}

M谩s informaci贸n disponible en http://support.microsoft.com/kb/240797.
Alternativamente, podemos salvar el siguiente texto como un archivo .REG e importarlo al registro para ejecutar el bit de cierre:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{166B1BCA-3F9C-11CF-8075-444553540000}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftInternet ExplorerActiveX Compatibility{166B1BCA-3F9C-11CF-8075-444553540000}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{233C1507-6A77-46A4-9443-F871F945D258}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftInternet ExplorerActiveX Compatibility{233C1507-6A77-46A4-9443-F871F945D258}]
"Compatibility Flags"=dword:00000400

2. USAR LA HERRAMIENTA EMET DE MICROSOFT
El Microsoft Enhanced Mitigation Experience Toolkit puede ser instalado para impedir la ejecuci贸n del citado c贸digo. El mayor porcentaje de seguridad se conseguir谩 en plataformas a partir de Windows 7, ya que soportan ASLR.
Click para acceder al video tutorial para implementar EMET 3.0 (ingl茅s)
3. ACTIVAR DEP EN WINDOWS
Se debe considerar la activaci贸n de esta caracter铆stica en sistemas Windows que lo soporten. Es efectivo s贸lo en determinados casos, pero suma algo de seguridad. ASLR o Adress Space Layout Randomization es necesario tambi茅n aqu铆, por tanto no ser谩 soportado por sistemas anteriores a Vista o Server 2008.
4. LIMITAR ACCESO A ARCHIVOS DE DIRECTOR
Algo que podr铆a ayudar a mitigar el problema es restringir el manejo de contenido de la aplicaci贸n 鈥淒irector鈥 que no sea de confianza. Tambi茅n debemos considerar ejecutar la extensi贸n noscript para navegadores mozilla como Firefox.
5. USO DE LA VERSI脫N 鈥淐OMPLETA鈥 DE SHOCKWAVE
Realmente 煤til resulta instalar la versi贸n completa en lugar de la versi贸n 鈥渟lim鈥. Esto se debe a que, para que un atacante pueda instalar una versi贸n m谩s antigua del xtra en el equipo, esta debe no estar presente con anterioridad.

Compara antivirus y software para acelerar el pc en nuestra web Mejor Antivirus

Comparte tu conocimiento y tus intereses con el mundo.

Publica un artículo →