[Info] Posibles solucion temporal a xploit de xp

Prueba esto que ha publicado Alejandro esta mañana, porque si que funciona:
-
Herramientas necesarias:

Proxomitron: http://proxomitron.cjb.net

Manos a la obra:

Lo instalais y le configurais el puerto de escucha en otro diferente,
por ejemplo 5123.
A continuacion le dais al botón que pone Web Page en la columna Edit
Filters.
A la derecha le dais al botón New, le asignais un nombre en Filter Name (en
mi caso "Evitar exploit IE"), y a continuación en Matching Expression poneis
"dataformatas=" (sin las comillas) y en Replacement Text poneis
"nodataformat=" (otra vez sin las comillas). Click en Ok, luego en Apply, y
marcais la casilla que está a la izquierda del nombre. Pulsais Ok, y luego
le dais al botón de Guardar en la ventana principal (el que tiene el
dibujito de [=]<-).

Lo que acabamos de hacer es un filtro para modificar uno de los parámetros
que necesita el exploit, así no funcionará.
Despues de esto, debeis configurar el Internet Explorer para que use al
programa como proxy. Para ello vamos a Herramientas > Opciones de Internet >
Conexiones. Si tenemos modem normal, teneis que configurarlo en las
propiedades de vuestra conexion telefónica; si teneis adsl, cable o
similares, en la Configuración de LAN.
Procedemos pues, y marcamos la casilla Utilizar un servidor proxy [...], en
Dirección ponemos 127.0.0.1 y en Puerto, el que elegimos antes, era 5123.
Pulsamos Aceptar en ambas ventanas y ya está, provad a visitar una web
cualquiera, por ejemplo la mía ya que estamos: http://home.vikt0ry.com y
vereis que ya no sale la ventana del exploit.

Espero que esto os salve de más de un disgusto ;)

Un saludo.

Se me olvidaba, sólo es un parche temporal, otra cosa que se debería filtrar
es esto:

classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'

y reemplazarlo por algo como esto:

classid='restricted-cause-of-exploit'

Si salen otros clsid, deberemos añadirlos, hasta que haya un parche
definitivo. Por ahora este método funciona bastante bien, al menos que
cojais la idea :)

*********************************************************************************

Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.





"Jose Antonio Rodriguez Fdez." wrote in message news:

Hola,

He estado haciendo pruebas, para poder paliar el problema del xploit
del IE hasta que salga el parche, y os comento mis impresiones, a ver
si funcionan y podemos mejorarlas.

En principio, las pruebas las he hecho con las muestras del xploit de
hispasec, tanto de descarga de fichero no autorizada, como una
apertura de una consola cmd.
http://www.hispasec.com/directorio/...odrev.html
http://www.hispasec.com/directorio/...drev3.html

Si se usa un fw personal, para usuarios domésticos, se puede hacer que
el xploit no se ejecute, en principio, sería agregando una regla
negando la ejecución del mshta.exe, para tráfico saliente tcp con
puerto remoto http.

De esta forma, he conseguido que las pruebas de hispasec, no se lleven
a cabo y queden bloqueadas, es de esperar que con xploits verdaderos
funcione igual

He realizado la prueba con proxomitron, y en principio, no funciona,
con las emulaciones de hispasec, quizás sea por las reglas del fw
personal, aunque me da que no (a ver si saco tiempo para seguir
investigando).

Esto en principio, solo funciona, para el host que tenga el fw
personal (normalmente usuarios domésticos), en el caso de redes,
habría que ir la siguiente solución.

He realizado pruebas, optimizando la configuración de los antivirus,
la prueba la he realizado, con mcafee v7, con inferiores no
funcionaría.

El tema está en configurar, el módulo hawk script stopper, entonces
analizará el tráfico, en http, y detecta, el intento de inclusión de
un script embebido, no autorizado deteniendolo.

Esto es útil, para redes corporativas, hasta que aparezca la solución
de ms.

No he realizado la prueba con otros antivirus, aunque he oído en el
grupo, que panda, tambien lo puede detectar.

Personalmente, si logramos afinar la configuración del proxomitron,
para redes corporativas, podría llegar a servir, tambien afinando la
configuración de fw de aplicación se podría paliar.

A ver que opinais, y sspero os sea útil.
Jose Antonio Rodriguez Fdez.



Quitar no_masillas_
Y cambiar punto org por punto net

· Nunca TANTOS debieron TANTO a tan pocos -
Todos los que día a día construimos esta fuente de conocimiento.

Con la 4.5


Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.





"Jose Antonio Rodriguez Fdez." wrote in message news:

Jose Manuel,

Lo configuré esta tarde he hice pruebas y no me funcionó, solo que yo
lo tengo corriendo en el 8080 solo que es la v 4.4 que a lo mejor
podía ser este el problema, ¿con que versión probasteis vosotros? de
todas formas lo volveré a revisar, que a lo mejor se me pasó algo un
error de tecleteo.

De momento tiraré con estos apaños, a ver si saca pronto ms el parche,
por que llevamos más de 48h al aire..


El Fri, 12 Sep 2003 21:26:44 +0200, JM Tella Llop [MS MVP] ·
escribo:

>Prueba esto que ha publicado Alejandro esta mañana, porque si que funciona:
>-
>Herramientas necesarias:
>
> Proxomitron: http://proxomitron.cjb.net
>
>Manos a la obra:
>
> Lo instalais y le configurais el puerto de escucha en otro diferente,
>por ejemplo 5123.
>A continuacion le dais al botón que pone Web Page en la columna Edit
>Filters.
>A la derecha le dais al botón New, le asignais un nombre en Filter Name (en
>mi caso "Evitar exploit IE"), y a continuación en Matching Expression poneis
>"dataformatas=" (sin las comillas) y en Replacement Text poneis
>"nodataformat=" (otra vez sin las comillas). Click en Ok, luego en Apply, y
>marcais la casilla que está a la izquierda del nombre. Pulsais Ok, y luego
>le dais al botón de Guardar en la ventana principal (el que tiene el
>dibujito de [=]<-).
>
>Lo que acabamos de hacer es un filtro para modificar uno de los parámetros
>que necesita el exploit, así no funcionará.
>Despues de esto, debeis configurar el Internet Explorer para que use al
>programa como proxy. Para ello vamos a Herramientas > Opciones de Internet >
>Conexiones. Si tenemos modem normal, teneis que configurarlo en las
>propiedades de vuestra conexion telefónica; si teneis adsl, cable o
>similares, en la Configuración de LAN.
>Procedemos pues, y marcamos la casilla Utilizar un servidor proxy [...], en
>Dirección ponemos 127.0.0.1 y en Puerto, el que elegimos antes, era 5123.
>Pulsamos Aceptar en ambas ventanas y ya está, provad a visitar una web
>cualquiera, por ejemplo la mía ya que estamos: http://home.vikt0ry.com y
>vereis que ya no sale la ventana del exploit.
>
>Espero que esto os salve de más de un disgusto ;)
>
>Un saludo.
>
>Se me olvidaba, sólo es un parche temporal, otra cosa que se debería filtrar
>es esto:
>
>classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'
>
>y reemplazarlo por algo como esto:
>
>classid='restricted-cause-of-exploit'
>
>Si salen otros clsid, deberemos añadirlos, hasta que haya un parche
>definitivo. Por ahora este método funciona bastante bien, al menos que
>cojais la idea :)
>
>*********************************************************************************

Jose Antonio Rodriguez Fdez.



Quitar no_masillas_
Y cambiar punto org por punto net

· Nunca TANTOS debieron TANTO a tan pocos -
Todos los que día a día construimos esta fuente de conocimiento.

repro


Fdo. Alejandro Arenzana Magaña

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

2 Procesadores Dual Intel Pentium Xeon 2,8Ghz

mailto:

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos beneficiamos todos.

Reglas de conducta de los grupos de noticias: http://support.microsoft.com/defaul...newsreglas

Sigue este link: http://www.unicore.com/biosagent/ba.exe ejecuta el Bios
Agent, salvas los resultados en el archivo bios.txt y se lo envias a KURIAKI
a esta direccion:
No dudes en hacerlo cada vez que actualices tu BIOS. Asi podras ayudarle a
mantener una base de datos actualizada con todas las placas madre del
mercado.
Gracias por tu colaboración.
____

"JM Tella Llop [MS MVP] ·" wrote in message news:
Con la 4.5


Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.





"Jose Antonio Rodriguez Fdez." wrote in message news:

Jose Manuel,

Lo configuré esta tarde he hice pruebas y no me funcionó, solo que yo
lo tengo corriendo en el 8080 solo que es la v 4.4 que a lo mejor
podía ser este el problema, ¿con que versión probasteis vosotros? de
todas formas lo volveré a revisar, que a lo mejor se me pasó algo un
error de tecleteo.

De momento tiraré con estos apaños, a ver si saca pronto ms el parche,
por que llevamos más de 48h al aire..


El Fri, 12 Sep 2003 21:26:44 +0200, JM Tella Llop [MS MVP] ·
escribo:

>Prueba esto que ha publicado Alejandro esta mañana, porque si que funciona:
>-
>Herramientas necesarias:
>
> Proxomitron: http://proxomitron.cjb.net
>
>Manos a la obra:
>
> Lo instalais y le configurais el puerto de escucha en otro diferente,
>por ejemplo 5123.
>A continuacion le dais al botón que pone Web Page en la columna Edit
>Filters.
>A la derecha le dais al botón New, le asignais un nombre en Filter Name (en
>mi caso "Evitar exploit IE"), y a continuación en Matching Expression poneis
>"dataformatas=" (sin las comillas) y en Replacement Text poneis
>"nodataformat=" (otra vez sin las comillas). Click en Ok, luego en Apply, y
>marcais la casilla que está a la izquierda del nombre. Pulsais Ok, y luego
>le dais al botón de Guardar en la ventana principal (el que tiene el
>dibujito de [=]<-).
>
>Lo que acabamos de hacer es un filtro para modificar uno de los parámetros
>que necesita el exploit, así no funcionará.
>Despues de esto, debeis configurar el Internet Explorer para que use al
>programa como proxy. Para ello vamos a Herramientas > Opciones de Internet >
>Conexiones. Si tenemos modem normal, teneis que configurarlo en las
>propiedades de vuestra conexion telefónica; si teneis adsl, cable o
>similares, en la Configuración de LAN.
>Procedemos pues, y marcamos la casilla Utilizar un servidor proxy [...], en
>Dirección ponemos 127.0.0.1 y en Puerto, el que elegimos antes, era 5123.
>Pulsamos Aceptar en ambas ventanas y ya está, provad a visitar una web
>cualquiera, por ejemplo la mía ya que estamos: http://home.vikt0ry.com y
>vereis que ya no sale la ventana del exploit.
>
>Espero que esto os salve de más de un disgusto ;)
>
>Un saludo.
>
>Se me olvidaba, sólo es un parche temporal, otra cosa que se debería filtrar
>es esto:
>
>classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'
>
>y reemplazarlo por algo como esto:
>
>classid='restricted-cause-of-exploit'
>
>Si salen otros clsid, deberemos añadirlos, hasta que haya un parche
>definitivo. Por ahora este método funciona bastante bien, al menos que
>cojais la idea :)
>
>*********************************************************************************

Jose Antonio Rodriguez Fdez.



Quitar no_masillas_
Y cambiar punto org por punto net

· Nunca TANTOS debieron TANTO a tan pocos -
Todos los que día a día construimos esta fuente de conocimiento.

Con el ZA y el NAV instalados en el sistema he pasado las pruebas con
éxito. ZA me advierte de la actuación de mshta.exe, a la cual deniego la
salida, pero aún en una segunda prueba permitiendo la salida de mshta.exe a
través de ZA, el script blocking de NAV me da un pantallazo de aviso y me
permite prohibir la ejecución del script.

Con esto y hasta que Microsoft saque el parche correspondiente creo que
no hay peligro, pero claro, al igual que tú solo he probado los test de
Hispasec y no sé cómo funcionaría con un auténtico script malicioso.

Un saludo.


"Jose Antonio Rodriguez Fdez." escribió en
el mensaje news:

Hola,

He estado haciendo pruebas, para poder paliar el problema del xploit
del IE hasta que salga el parche, y os comento mis impresiones, a ver
si funcionan y podemos mejorarlas.

En principio, las pruebas las he hecho con las muestras del xploit de
hispasec, tanto de descarga de fichero no autorizada, como una
apertura de una consola cmd.
http://www.hispasec.com/directorio/...odrev.html
http://www.hispasec.com/directorio/...drev3.html

Si se usa un fw personal, para usuarios domésticos, se puede hacer que
el xploit no se ejecute, en principio, sería agregando una regla
negando la ejecución del mshta.exe, para tráfico saliente tcp con
puerto remoto http.

De esta forma, he conseguido que las pruebas de hispasec, no se lleven
a cabo y queden bloqueadas, es de esperar que con xploits verdaderos
funcione igual

He realizado la prueba con proxomitron, y en principio, no funciona,
con las emulaciones de hispasec, quizás sea por las reglas del fw
personal, aunque me da que no (a ver si saco tiempo para seguir
investigando).

Esto en principio, solo funciona, para el host que tenga el fw
personal (normalmente usuarios domésticos), en el caso de redes,
habría que ir la siguiente solución.

He realizado pruebas, optimizando la configuración de los antivirus,
la prueba la he realizado, con mcafee v7, con inferiores no
funcionaría.

El tema está en configurar, el módulo hawk script stopper, entonces
analizará el tráfico, en http, y detecta, el intento de inclusión de
un script embebido, no autorizado deteniendolo.

Esto es útil, para redes corporativas, hasta que aparezca la solución
de ms.

No he realizado la prueba con otros antivirus, aunque he oído en el
grupo, que panda, tambien lo puede detectar.

Personalmente, si logramos afinar la configuración del proxomitron,
para redes corporativas, podría llegar a servir, tambien afinando la
configuración de fw de aplicación se podría paliar.

A ver que opinais, y sspero os sea útil.
Jose Antonio Rodriguez Fdez.



Quitar no_masillas_
Y cambiar punto org por punto net

· Nunca TANTOS debieron TANTO a tan pocos -
Todos los que día a día construimos esta fuente de conocimiento.

a mi tb me funciona


"JM Tella Llop [MS MVP] ·" escribió en el mensaje
news:
Prueba esto que ha publicado Alejandro esta mañana, porque si que funciona:
-
Herramientas necesarias:

Proxomitron: http://proxomitron.cjb.net

Manos a la obra:

Lo instalais y le configurais el puerto de escucha en otro diferente,
por ejemplo 5123.
A continuacion le dais al botón que pone Web Page en la columna Edit
Filters.
A la derecha le dais al botón New, le asignais un nombre en Filter Name (en
mi caso "Evitar exploit IE"), y a continuación en Matching Expression poneis
"dataformatas=" (sin las comillas) y en Replacement Text poneis
"nodataformat=" (otra vez sin las comillas). Click en Ok, luego en Apply, y
marcais la casilla que está a la izquierda del nombre. Pulsais Ok, y luego
le dais al botón de Guardar en la ventana principal (el que tiene el
dibujito de [=]<-).

Lo que acabamos de hacer es un filtro para modificar uno de los parámetros
que necesita el exploit, así no funcionará.
Despues de esto, debeis configurar el Internet Explorer para que use al
programa como proxy. Para ello vamos a Herramientas > Opciones de Internet >
Conexiones. Si tenemos modem normal, teneis que configurarlo en las
propiedades de vuestra conexion telefónica; si teneis adsl, cable o
similares, en la Configuración de LAN.
Procedemos pues, y marcamos la casilla Utilizar un servidor proxy [...], en
Dirección ponemos 127.0.0.1 y en Puerto, el que elegimos antes, era 5123.
Pulsamos Aceptar en ambas ventanas y ya está, provad a visitar una web
cualquiera, por ejemplo la mía ya que estamos: http://home.vikt0ry.com y
vereis que ya no sale la ventana del exploit.

Espero que esto os salve de más de un disgusto ;)

Un saludo.

Se me olvidaba, sólo es un parche temporal, otra cosa que se debería filtrar
es esto:

classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'

y reemplazarlo por algo como esto:

classid='restricted-cause-of-exploit'

Si salen otros clsid, deberemos añadirlos, hasta que haya un parche
definitivo. Por ahora este método funciona bastante bien, al menos que
cojais la idea :)

****************************************************************************
*****

Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.





"Jose Antonio Rodriguez Fdez." wrote in
message news:

Hola,

He estado haciendo pruebas, para poder paliar el problema del xploit
del IE hasta que salga el parche, y os comento mis impresiones, a ver
si funcionan y podemos mejorarlas.

En principio, las pruebas las he hecho con las muestras del xploit de
hispasec, tanto de descarga de fichero no autorizada, como una
apertura de una consola cmd.
http://www.hispasec.com/directorio/...odrev.html
http://www.hispasec.com/directorio/...drev3.html

Si se usa un fw personal, para usuarios domésticos, se puede hacer que
el xploit no se ejecute, en principio, sería agregando una regla
negando la ejecución del mshta.exe, para tráfico saliente tcp con
puerto remoto http.

De esta forma, he conseguido que las pruebas de hispasec, no se lleven
a cabo y queden bloqueadas, es de esperar que con xploits verdaderos
funcione igual

He realizado la prueba con proxomitron, y en principio, no funciona,
con las emulaciones de hispasec, quizás sea por las reglas del fw
personal, aunque me da que no (a ver si saco tiempo para seguir
investigando).

Esto en principio, solo funciona, para el host que tenga el fw
personal (normalmente usuarios domésticos), en el caso de redes,
habría que ir la siguiente solución.

He realizado pruebas, optimizando la configuración de los antivirus,
la prueba la he realizado, con mcafee v7, con inferiores no
funcionaría.

El tema está en configurar, el módulo hawk script stopper, entonces
analizará el tráfico, en http, y detecta, el intento de inclusión de
un script embebido, no autorizado deteniendolo.

Esto es útil, para redes corporativas, hasta que aparezca la solución
de ms.

No he realizado la prueba con otros antivirus, aunque he oído en el
grupo, que panda, tambien lo puede detectar.

Personalmente, si logramos afinar la configuración del proxomitron,
para redes corporativas, podría llegar a servir, tambien afinando la
configuración de fw de aplicación se podría paliar.

A ver que opinais, y sspero os sea útil.
Jose Antonio Rodriguez Fdez.



Quitar no_masillas_
Y cambiar punto org por punto net

· Nunca TANTOS debieron TANTO a tan pocos -
Todos los que día a día construimos esta fuente de conocimiento.