Nuevo 0-day en el Centro de ayuda de Microsoft

Microsoft acaba de publicar 10 boletines de seguridad en su ciclo habitual y ya tenemos un nuevo y peligroso 0-day que podría permitir a un atacante ejecutar comandos arbitrarios en un equipo vulnerable.

La vulnerabilidad está relacionada con el manejo de URLs de Microsoft Help Center. A través de una página web HTML, un email o cualquier vector típico de ataque, el atacante podría engañar a la víctima para que visite un enlace hcp:// especialmente modificado y se ejecuten los comandos deseados en el contexto de la cuenta del usuario afectado.

Cuando se invoca el manejador de protocolo hcp://, el Centro de Ayuda y soporte técnico (Windows Help Center) emplea el uso de una whitelist que solo permite ciertos parámetros y documentos de ayuda. Pues bien, existe un fallo en MPC::HTML::UrlUnescapeW() que permite saltarse esa whitelist. Esto, junto con una vulnerabilidad conocida de cross-site scripting (XSS) en el documento de ayuda sysinfomain.htm, hace posible construir una URL maliciosa que permitirá a un atacante ejecutar de forma trivial cualquier comando. Sirva como prueba este sencillo ejemplo:


También, embebiendo la URL hcp:// maliciosa en un IFRAME dentro de un elemento ASX HtmlView, un atacante malicioso podría ejecutar cualquier comando en el equipo de un usuario que visite la página web sin ni siquiera requerir su interación.

Si a esto y a su gran facilidad de explotación añadimos que el exploit ya es público, podemos determinar que se trata de un 0-day realmente peligroso.

Por ello, y para mitigar el problema de momento, se recomienda desactivar las URLs del Centro de ayuda y soporte técnico borrando la siguiente clave de registro (se puede también crear una política de grupo para desplegarlo en múltiples clientes):

HKEY_CLASSES_ROOT\HCP\shell\open\command

Podéis encontrar más información en: http://seclists.org/fulldisclosure/2010/Jun/205

2 comentarios :

  1. ¿Estoy teniendo un 'deja vu'? ¿No les ha pasado ya algo parecido?

    ResponderEliminar
  2. Ya te digo. Menudo añito llevan...

    ResponderEliminar