[Info] Posibles solucion temporal a xploit de xp

12/09/2003 - 21:16 por Jose Antonio Rodriguez Fdez. | Informe spam
Hola,

He estado haciendo pruebas, para poder paliar el problema del xploit
del IE hasta que salga el parche, y os comento mis impresiones, a ver
si funcionan y podemos mejorarlas.

En principio, las pruebas las he hecho con las muestras del xploit de
hispasec, tanto de descarga de fichero no autorizada, como una
apertura de una consola cmd.
http://www.hispasec.com/directorio/...odrev.html
http://www.hispasec.com/directorio/...drev3.html

Si se usa un fw personal, para usuarios domésticos, se puede hacer que
el xploit no se ejecute, en principio, sería agregando una regla
negando la ejecución del mshta.exe, para tráfico saliente tcp con
puerto remoto http.

De esta forma, he conseguido que las pruebas de hispasec, no se lleven
a cabo y queden bloqueadas, es de esperar que con xploits verdaderos
funcione igual

He realizado la prueba con proxomitron, y en principio, no funciona,
con las emulaciones de hispasec, quizás sea por las reglas del fw
personal, aunque me da que no (a ver si saco tiempo para seguir
investigando).

Esto en principio, solo funciona, para el host que tenga el fw
personal (normalmente usuarios domésticos), en el caso de redes,
habría que ir la siguiente solución.

He realizado pruebas, optimizando la configuración de los antivirus,
la prueba la he realizado, con mcafee v7, con inferiores no
funcionaría.

El tema está en configurar, el módulo hawk script stopper, entonces
analizará el tráfico, en http, y detecta, el intento de inclusión de
un script embebido, no autorizado deteniendolo.

Esto es útil, para redes corporativas, hasta que aparezca la solución
de ms.

No he realizado la prueba con otros antivirus, aunque he oído en el
grupo, que panda, tambien lo puede detectar.

Personalmente, si logramos afinar la configuración del proxomitron,
para redes corporativas, podría llegar a servir, tambien afinando la
configuración de fw de aplicación se podría paliar.

A ver que opinais, y sspero os sea útil.
Jose Antonio Rodriguez Fdez.

no_masillas_josearf@airtel.org

Quitar no_masillas_
Y cambiar punto org por punto net

· Nunca TANTOS debieron TANTO a tan pocos -
Todos los que día a día construimos esta fuente de conocimiento.
 

Leer las respuestas

#1 JM Tella Llop [MS MVP] ·
12/09/2003 - 21:26 | Informe spam
Prueba esto que ha publicado Alejandro esta mañana, porque si que funciona:
-
Herramientas necesarias:

Proxomitron: http://proxomitron.cjb.net

Manos a la obra:

Lo instalais y le configurais el puerto de escucha en otro diferente,
por ejemplo 5123.
A continuacion le dais al botón que pone Web Page en la columna Edit
Filters.
A la derecha le dais al botón New, le asignais un nombre en Filter Name (en
mi caso "Evitar exploit IE"), y a continuación en Matching Expression poneis
"dataformatas=" (sin las comillas) y en Replacement Text poneis
"nodataformat=" (otra vez sin las comillas). Click en Ok, luego en Apply, y
marcais la casilla que está a la izquierda del nombre. Pulsais Ok, y luego
le dais al botón de Guardar en la ventana principal (el que tiene el
dibujito de [=]<-).

Lo que acabamos de hacer es un filtro para modificar uno de los parámetros
que necesita el exploit, así no funcionará.
Despues de esto, debeis configurar el Internet Explorer para que use al
programa como proxy. Para ello vamos a Herramientas > Opciones de Internet >
Conexiones. Si tenemos modem normal, teneis que configurarlo en las
propiedades de vuestra conexion telefónica; si teneis adsl, cable o
similares, en la Configuración de LAN.
Procedemos pues, y marcamos la casilla Utilizar un servidor proxy [...], en
Dirección ponemos 127.0.0.1 y en Puerto, el que elegimos antes, era 5123.
Pulsamos Aceptar en ambas ventanas y ya está, provad a visitar una web
cualquiera, por ejemplo la mía ya que estamos: http://home.vikt0ry.com y
vereis que ya no sale la ventana del exploit.

Espero que esto os salve de más de un disgusto ;)

Un saludo.

Se me olvidaba, sólo es un parche temporal, otra cosa que se debería filtrar
es esto:

classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'

y reemplazarlo por algo como esto:

classid='restricted-cause-of-exploit'

Si salen otros clsid, deberemos añadirlos, hasta que haya un parche
definitivo. Por ahora este método funciona bastante bien, al menos que
cojais la idea :)

*********************************************************************************

Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.





"Jose Antonio Rodriguez Fdez." wrote in message news:
Hola,

He estado haciendo pruebas, para poder paliar el problema del xploit
del IE hasta que salga el parche, y os comento mis impresiones, a ver
si funcionan y podemos mejorarlas.

En principio, las pruebas las he hecho con las muestras del xploit de
hispasec, tanto de descarga de fichero no autorizada, como una
apertura de una consola cmd.
http://www.hispasec.com/directorio/...odrev.html
http://www.hispasec.com/directorio/...drev3.html

Si se usa un fw personal, para usuarios domésticos, se puede hacer que
el xploit no se ejecute, en principio, sería agregando una regla
negando la ejecución del mshta.exe, para tráfico saliente tcp con
puerto remoto http.

De esta forma, he conseguido que las pruebas de hispasec, no se lleven
a cabo y queden bloqueadas, es de esperar que con xploits verdaderos
funcione igual

He realizado la prueba con proxomitron, y en principio, no funciona,
con las emulaciones de hispasec, quizás sea por las reglas del fw
personal, aunque me da que no (a ver si saco tiempo para seguir
investigando).

Esto en principio, solo funciona, para el host que tenga el fw
personal (normalmente usuarios domésticos), en el caso de redes,
habría que ir la siguiente solución.

He realizado pruebas, optimizando la configuración de los antivirus,
la prueba la he realizado, con mcafee v7, con inferiores no
funcionaría.

El tema está en configurar, el módulo hawk script stopper, entonces
analizará el tráfico, en http, y detecta, el intento de inclusión de
un script embebido, no autorizado deteniendolo.

Esto es útil, para redes corporativas, hasta que aparezca la solución
de ms.

No he realizado la prueba con otros antivirus, aunque he oído en el
grupo, que panda, tambien lo puede detectar.

Personalmente, si logramos afinar la configuración del proxomitron,
para redes corporativas, podría llegar a servir, tambien afinando la
configuración de fw de aplicación se podría paliar.

A ver que opinais, y sspero os sea útil.
Jose Antonio Rodriguez Fdez.



Quitar no_masillas_
Y cambiar punto org por punto net

· Nunca TANTOS debieron TANTO a tan pocos -
Todos los que día a día construimos esta fuente de conocimiento.

Preguntas similares