[Seguridad] Vulnerability in Windows Shell Could Allow Remote Code Execution (926043)

03/10/2006 - 11:43 por Enrique [MVP Windows] | Informe spam
Vulnerability in Windows Shell Could Allow Remote Code Execution
http://www.microsoft.com/technet/se...26043.mspx

Una vulnerabilidad crítica ha sido detectada en el shell de Microsoft Windows, la cual puede ser explotada para la ejecución de código de forma remota. El problema es ocasionado por el objeto ActiveX "Microsoft WebViewFolderIcon ActiveX control" (Web View), utilizado por el Explorador de Windows. Microsoft está investigando nuevos informes públicos sobre esta vulnerabilidad en Microsoft Windows. Los clientes que ejecutan Windows Server 2003 y Windows Server 2003 Service Pack 1 en sus configuraciones por defecto, y con la Seguridad Mejorada activada, no están afectados. Microsoft es consciente que existen pruebas de código publicadas y que ha habido ataques limitados. Se han detectado sitios web que intentan utilizar la citada vulnerabilidad para instalar malware. La investigación en estos sitios de Web demuestra, en la mayoría de los casos, las tentativas de instalar software malévolo explotando esta vulnerabilidad. Esto es debido a factores específicos técnicos relacionados con la vulnerabilidad. Microsoft seguirá investigando estos informes públicos.

Two new and one updated advisory discussing PoC and exploits
http://blogs.technet.com/msrc/archi...59967.aspx



Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE
Date un paseo por mi Blog: http://ekort.blogspot.com
ekort@mvps.org

Windows Vista x86 (TM) Release Candidate 1 Build 5600
IE7 Release Candidate 1 (Build 5700.6) en XP-SP2

"El secreto de la felicidad no es hacer siempre lo que se quiere,
sino querer siempre lo que se hace"


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
________________________________________________________________________________

Preguntas similare

Leer las respuestas

#1 Enrique [MVP Windows]
03/10/2006 - 13:32 | Informe spam
El artículo ha sido actualizado a 2 de Octubre de 2006!

October 2, 2006: Advisory updated to advise customers that Web sites that attempt to use this vulnerability to perform limited attacks have been discovered.




Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE
Date un paseo por mi Blog: http://ekort.blogspot.com


Windows Vista x86 (TM) Release Candidate 1 Build 5600
IE7 Release Candidate 1 (Build 5700.6) en XP-SP2

"El secreto de la felicidad no es hacer siempre lo que se quiere,
sino querer siempre lo que se hace"


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
________________________________________________________________________________
"Simplemente Osvaldo" escribió en el mensaje news:%
Ya había dado el alerta creo que con el mismo aviso VSANTIVUS.COM en su
sitio el día 29/09/2006, COMO ALERTA NARANJA yo lo publique aquí en la lista
el día 01/10/2006.
Creo que nadie a leído ese aviso o no les intereso directamente, PERO SE
PUBLICO APENAS SE DETECTO.
Copia del articulo en http:///vsantivirus.com
Directo al aviso: http://vsantivirus.com/vul-windows-...280906.htm
Respuesta Responder a este mensaje
#2 Enrique [MVP Windows]
03/10/2006 - 13:32 | Informe spam
El artículo ha sido actualizado a 2 de Octubre de 2006!

October 2, 2006: Advisory updated to advise customers that Web sites that attempt to use this vulnerability to perform limited attacks have been discovered.




Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE
Date un paseo por mi Blog: http://ekort.blogspot.com


Windows Vista x86 (TM) Release Candidate 1 Build 5600
IE7 Release Candidate 1 (Build 5700.6) en XP-SP2

"El secreto de la felicidad no es hacer siempre lo que se quiere,
sino querer siempre lo que se hace"


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
________________________________________________________________________________
"Simplemente Osvaldo" escribió en el mensaje news:%
Ya había dado el alerta creo que con el mismo aviso VSANTIVUS.COM en su
sitio el día 29/09/2006, COMO ALERTA NARANJA yo lo publique aquí en la lista
el día 01/10/2006.
Creo que nadie a leído ese aviso o no les intereso directamente, PERO SE
PUBLICO APENAS SE DETECTO.
Copia del articulo en http:///vsantivirus.com
Directo al aviso: http://vsantivirus.com/vul-windows-...280906.htm
Respuesta Responder a este mensaje
#3 noSign
03/10/2006 - 23:38 | Informe spam
Existen dos opciones de terceros, el kill bit para los CLSID implicados que informas en la pagina que citas
http://vsantivirus.com/vul-windows-...280906.htm


o el de Determina mas completo, pues se activa en memoria sobre el activeX vulnerable segun version SO:
http://www.determina.com/security_c..._09282.asp

Descarga directa:
http://www.determina.com/security.r...6-3730.msi


saludos
noSign


"Simplemente Osvaldo" escribió en el mensaje news:%
Ya había dado el alerta creo que con el mismo aviso VSANTIVUS.COM en su
sitio el día 29/09/2006, COMO ALERTA NARANJA yo lo publique aquí en la lista
el día 01/10/2006.
Creo que nadie a leído ese aviso o no les intereso directamente, PERO SE
PUBLICO APENAS SE DETECTO.
Copia del articulo en http:///vsantivirus.com
Directo al aviso: http://vsantivirus.com/vul-windows-...280906.htm





s
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE
en nuestras listas de correo.



Busque su tema:

VSantivirus Internet
Proporcionado por FreeFind


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat




Vulnerabilidad crítica en Windows (WebViewFolderIcon)

VSantivirus No 2256 Año 10, viernes 29 de setiembre de
2006

Vulnerabilidad crítica en Windows (WebViewFolderIcon)
http://www.vsantivirus.com/vul-wind...280906.htm

Alerta Naranja

Por Angela Ruiz


Una vulnerabilidad crítica ha sido detectada en el shell
de Microsoft Windows, la cuál puede ser explotada para la ejecución de
código de forma remota.

El problema es ocasionado por el objeto ActiveX "Microsoft
WebViewFolderIcon ActiveX control" (Web View), utilizado por el Explorador
de Windows.

La vulnerabilidad puede ser utilizada por un atacante para
la ejecución remota de código, a través de una página Web maliciosa o de un
correo electrónico con formato HTML.

También puede ser explotada por un troyano u otra clase de
malware.

Son afectadas todas las versiones de Windows actualmente
soportadas, menos Windows Server 2003 y Windows Server 2003 SP1 con la
configuración por defecto.

NOTA 30/09/06: La cantidad de reportes de sitios que
explotan esta vulnerabilidad ha aumentado al grado que pasamos el nivel de
alerta a NARANJA. Es necesario que las personas apliquen las medidas
sugeridas en este artículo para minimizar los riesgos de infección por
códigos maliciosos que podrían instalarse utilizando esta vulnerabilidad,
hasta que Microsoft publique un parche para el problema.


Solución:

No existe una solución oficial para este problema al
momento de la publicación de esta alerta.


Herramienta para habilitar el kill bit de WEBVW.DLL

El SANS Institute Internet Storm Center
(http://isc.sans.org), ha publicado una herramienta que habilita el "kill
bit" del componente afectado (WEBVW.DLL)

Para usarla, descargue el archivo siguiente y ejecútelo en
su PC:

http://handlers.sans.org/tliston/WE...illBit.exe

Al ejecutarlo, un mensaje del tipo "No se puede comprobar
el fabricante, ¿Está seguro que desea ejecutar este software?" podría ser
mostrado. En ese caso, a pesar de la advertencia, pulse el botón "Ejecutar".

Si el kill bit no ha sido activado (sería la situación
normal la primera vez que use esta herramienta), una ventana con el título
"Error" y el mensaje "The killbit for WEBVW.DLL is currently UNSET. Do you
want to set it?" le será mostrada. Pulse en "Si" para activarlo (esto
protegerá su PC de un exploit para esta vulnerabilidad).

Si por el contrario, el kill bit ya ha sido activado, una
ventana con el título "Error" y el mensaje "The killbit for WEBVW.DLL is
currently SET. Do you want to remove it?" le será mostrada. Pulse en "Si"
para desactivarlo (si por alguna razón deseara hacerlo).

Recuerde, su PC estará protegido si ACTIVA el kill bit de
WEBVW.DLL (SET killbit).

El SANS también publicó la misma herramienta para ser
ejecutada desde línea de comandos.

Más información:

Setslice Killbit Apps
http://isc.sans.org/diary.php?storyid42


Sobre el kill bit de WEBVW.DLL

Por cada control ActiveX existe un único identificador de
clase llamado CLSID.

CLSID (Class identifier, o Identificador de clase), es un
identificador universal exclusivo (UUID) que identifica un componente COM.
Cada componente COM tiene su CLSID en el registro de Windows de forma que
otras aplicaciones puedan cargarlo.

COM (Modelo de Objetos Componentes), es un modelo de
programación orientada a objetos que define cómo interactúan los mismos con
una aplicación determinada o entre distintas aplicaciones.

En el registro de Windows, si vemos la sección
"HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Internet Explorer\ ActiveX
Compatibility", nos encontramos con varios identificadores CLSID de ActiveX
que están representados por un código extremadamente largo de letras y
números entre corchetes, por ejemplo:
{00000566-0000-0010-8000-00AA006D2EA4}.

En cada clave existe un valor llamado "Compatibility
Flags". Cuando este valor es equivalente a "1024" (o 400 en hexadecimal), se
evita que ese control se instale o ejecute (esto hace SpywareBlaster por
ejemplo, para evitar la carga de muchos parásitos, spywares y adwares).

Habilitando el "kill bit" para "WEBVW.DLL" en el registro
de Windows, dicho objeto igual podrá acceder a su disco duro, pero no lo
podrá hacer cuando se encuentre dentro del Internet Explorer, evitando así
que una vulnerabilidad como la detectada pueda ser utilizada maliciosamente.

NOTA: Los siguientes son los CLSID para WEBVW.DLL
{844F4806-E8A8-11d2-9652-00C04FC30871}
{E5DF9D10-3B52-11D1-83E8-00A0C90DC849}


Más información:

Microsoft Security Advisory (926043)
Vulnerability in Windows Shell Could Allow Remote Code
Execution
http://www.microsoft.com/technet/se...26043.mspx

Vulnerability Note VU#753044
Microsoft Windows WebViewFolderIcon ActiveX integer
overflow
http://www.kb.cert.org/vuls/id/753044

CVE-2006-3730
http://cve.mitre.org/cgi-bin/cvenam...-2006-3730



[Última modificación: 30/09/06 18:38 -0300 ]



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com









Osvaldo L. Vila-
Burzaco- Buenos Aires-
Argentina-
Casi, casi al sur del Continente Americano-

Estos programas sobre SEGURIDAD no deben faltar en tu equipo:
Ad-Aware SE, Spybot Search 1.4, Spyware Blaster 3.5.1-
Antivirus el mejor Nod 32 (de pago) y Avg 7.0 Avast 4.7 gratuitos-
ZoneAlarm Versión 6.5.737.000












Enrique [MVP Windows]" escribió en el mensaje
news:O$
Vulnerability in Windows Shell Could Allow Remote Code Execution
http://www.microsoft.com/technet/se...26043.mspx

Una vulnerabilidad crítica ha sido detectada en el shell de Microsoft
Windows, la cual puede ser explotada para la ejecución de código de forma
remota. El problema es ocasionado por el objeto ActiveX "Microsoft
WebViewFolderIcon ActiveX control" (Web View), utilizado por el Explorador
de Windows. Microsoft está investigando nuevos informes públicos sobre esta
vulnerabilidad en Microsoft Windows. Los clientes que ejecutan Windows
Server 2003 y Windows Server 2003 Service Pack 1 en sus configuraciones por
defecto, y con la Seguridad Mejorada activada, no están afectados. Microsoft
es consciente que existen pruebas de código publicadas y que ha habido
ataques limitados. Se han detectado sitios web que intentan utilizar la
citada vulnerabilidad para instalar malware. La investigación en estos
sitios de Web demuestra, en la mayoría de los casos, las tentativas de
instalar software malévolo explotando esta vulnerabilidad. Esto es debido a
factores específicos técnicos relacionados con la vulnerabilidad. Microsoft
seguirá investigando estos informes públicos.

Two new and one updated advisory discussing PoC and exploits
http://blogs.technet.com/msrc/archi...59967.aspx



Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE
Date un paseo por mi Blog: http://ekort.blogspot.com


Windows Vista x86 (TM) Release Candidate 1 Build 5600
IE7 Release Candidate 1 (Build 5700.6) en XP-SP2

"El secreto de la felicidad no es hacer siempre lo que se quiere,
sino querer siempre lo que se hace"


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
________________________________________________________________________________



Respuesta Responder a este mensaje
#4 noSign
03/10/2006 - 23:38 | Informe spam
Existen dos opciones de terceros, el kill bit para los CLSID implicados que informas en la pagina que citas
http://vsantivirus.com/vul-windows-...280906.htm


o el de Determina mas completo, pues se activa en memoria sobre el activeX vulnerable segun version SO:
http://www.determina.com/security_c..._09282.asp

Descarga directa:
http://www.determina.com/security.r...6-3730.msi


saludos
noSign


"Simplemente Osvaldo" escribió en el mensaje news:%
Ya había dado el alerta creo que con el mismo aviso VSANTIVUS.COM en su
sitio el día 29/09/2006, COMO ALERTA NARANJA yo lo publique aquí en la lista
el día 01/10/2006.
Creo que nadie a leído ese aviso o no les intereso directamente, PERO SE
PUBLICO APENAS SE DETECTO.
Copia del articulo en http:///vsantivirus.com
Directo al aviso: http://vsantivirus.com/vul-windows-...280906.htm





s
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE
en nuestras listas de correo.



Busque su tema:

VSantivirus Internet
Proporcionado por FreeFind


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat




Vulnerabilidad crítica en Windows (WebViewFolderIcon)

VSantivirus No 2256 Año 10, viernes 29 de setiembre de
2006

Vulnerabilidad crítica en Windows (WebViewFolderIcon)
http://www.vsantivirus.com/vul-wind...280906.htm

Alerta Naranja

Por Angela Ruiz


Una vulnerabilidad crítica ha sido detectada en el shell
de Microsoft Windows, la cuál puede ser explotada para la ejecución de
código de forma remota.

El problema es ocasionado por el objeto ActiveX "Microsoft
WebViewFolderIcon ActiveX control" (Web View), utilizado por el Explorador
de Windows.

La vulnerabilidad puede ser utilizada por un atacante para
la ejecución remota de código, a través de una página Web maliciosa o de un
correo electrónico con formato HTML.

También puede ser explotada por un troyano u otra clase de
malware.

Son afectadas todas las versiones de Windows actualmente
soportadas, menos Windows Server 2003 y Windows Server 2003 SP1 con la
configuración por defecto.

NOTA 30/09/06: La cantidad de reportes de sitios que
explotan esta vulnerabilidad ha aumentado al grado que pasamos el nivel de
alerta a NARANJA. Es necesario que las personas apliquen las medidas
sugeridas en este artículo para minimizar los riesgos de infección por
códigos maliciosos que podrían instalarse utilizando esta vulnerabilidad,
hasta que Microsoft publique un parche para el problema.


Solución:

No existe una solución oficial para este problema al
momento de la publicación de esta alerta.


Herramienta para habilitar el kill bit de WEBVW.DLL

El SANS Institute Internet Storm Center
(http://isc.sans.org), ha publicado una herramienta que habilita el "kill
bit" del componente afectado (WEBVW.DLL)

Para usarla, descargue el archivo siguiente y ejecútelo en
su PC:

http://handlers.sans.org/tliston/WE...illBit.exe

Al ejecutarlo, un mensaje del tipo "No se puede comprobar
el fabricante, ¿Está seguro que desea ejecutar este software?" podría ser
mostrado. En ese caso, a pesar de la advertencia, pulse el botón "Ejecutar".

Si el kill bit no ha sido activado (sería la situación
normal la primera vez que use esta herramienta), una ventana con el título
"Error" y el mensaje "The killbit for WEBVW.DLL is currently UNSET. Do you
want to set it?" le será mostrada. Pulse en "Si" para activarlo (esto
protegerá su PC de un exploit para esta vulnerabilidad).

Si por el contrario, el kill bit ya ha sido activado, una
ventana con el título "Error" y el mensaje "The killbit for WEBVW.DLL is
currently SET. Do you want to remove it?" le será mostrada. Pulse en "Si"
para desactivarlo (si por alguna razón deseara hacerlo).

Recuerde, su PC estará protegido si ACTIVA el kill bit de
WEBVW.DLL (SET killbit).

El SANS también publicó la misma herramienta para ser
ejecutada desde línea de comandos.

Más información:

Setslice Killbit Apps
http://isc.sans.org/diary.php?storyid42


Sobre el kill bit de WEBVW.DLL

Por cada control ActiveX existe un único identificador de
clase llamado CLSID.

CLSID (Class identifier, o Identificador de clase), es un
identificador universal exclusivo (UUID) que identifica un componente COM.
Cada componente COM tiene su CLSID en el registro de Windows de forma que
otras aplicaciones puedan cargarlo.

COM (Modelo de Objetos Componentes), es un modelo de
programación orientada a objetos que define cómo interactúan los mismos con
una aplicación determinada o entre distintas aplicaciones.

En el registro de Windows, si vemos la sección
"HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Internet Explorer\ ActiveX
Compatibility", nos encontramos con varios identificadores CLSID de ActiveX
que están representados por un código extremadamente largo de letras y
números entre corchetes, por ejemplo:
{00000566-0000-0010-8000-00AA006D2EA4}.

En cada clave existe un valor llamado "Compatibility
Flags". Cuando este valor es equivalente a "1024" (o 400 en hexadecimal), se
evita que ese control se instale o ejecute (esto hace SpywareBlaster por
ejemplo, para evitar la carga de muchos parásitos, spywares y adwares).

Habilitando el "kill bit" para "WEBVW.DLL" en el registro
de Windows, dicho objeto igual podrá acceder a su disco duro, pero no lo
podrá hacer cuando se encuentre dentro del Internet Explorer, evitando así
que una vulnerabilidad como la detectada pueda ser utilizada maliciosamente.

NOTA: Los siguientes son los CLSID para WEBVW.DLL
{844F4806-E8A8-11d2-9652-00C04FC30871}
{E5DF9D10-3B52-11D1-83E8-00A0C90DC849}


Más información:

Microsoft Security Advisory (926043)
Vulnerability in Windows Shell Could Allow Remote Code
Execution
http://www.microsoft.com/technet/se...26043.mspx

Vulnerability Note VU#753044
Microsoft Windows WebViewFolderIcon ActiveX integer
overflow
http://www.kb.cert.org/vuls/id/753044

CVE-2006-3730
http://cve.mitre.org/cgi-bin/cvenam...-2006-3730



[Última modificación: 30/09/06 18:38 -0300 ]



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com









Osvaldo L. Vila-
Burzaco- Buenos Aires-
Argentina-
Casi, casi al sur del Continente Americano-

Estos programas sobre SEGURIDAD no deben faltar en tu equipo:
Ad-Aware SE, Spybot Search 1.4, Spyware Blaster 3.5.1-
Antivirus el mejor Nod 32 (de pago) y Avg 7.0 Avast 4.7 gratuitos-
ZoneAlarm Versión 6.5.737.000












Enrique [MVP Windows]" escribió en el mensaje
news:O$
Vulnerability in Windows Shell Could Allow Remote Code Execution
http://www.microsoft.com/technet/se...26043.mspx

Una vulnerabilidad crítica ha sido detectada en el shell de Microsoft
Windows, la cual puede ser explotada para la ejecución de código de forma
remota. El problema es ocasionado por el objeto ActiveX "Microsoft
WebViewFolderIcon ActiveX control" (Web View), utilizado por el Explorador
de Windows. Microsoft está investigando nuevos informes públicos sobre esta
vulnerabilidad en Microsoft Windows. Los clientes que ejecutan Windows
Server 2003 y Windows Server 2003 Service Pack 1 en sus configuraciones por
defecto, y con la Seguridad Mejorada activada, no están afectados. Microsoft
es consciente que existen pruebas de código publicadas y que ha habido
ataques limitados. Se han detectado sitios web que intentan utilizar la
citada vulnerabilidad para instalar malware. La investigación en estos
sitios de Web demuestra, en la mayoría de los casos, las tentativas de
instalar software malévolo explotando esta vulnerabilidad. Esto es debido a
factores específicos técnicos relacionados con la vulnerabilidad. Microsoft
seguirá investigando estos informes públicos.

Two new and one updated advisory discussing PoC and exploits
http://blogs.technet.com/msrc/archi...59967.aspx



Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE
Date un paseo por mi Blog: http://ekort.blogspot.com


Windows Vista x86 (TM) Release Candidate 1 Build 5600
IE7 Release Candidate 1 (Build 5700.6) en XP-SP2

"El secreto de la felicidad no es hacer siempre lo que se quiere,
sino querer siempre lo que se hace"


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
________________________________________________________________________________



Respuesta Responder a este mensaje
#5 Arturo Costa Delgado
04/10/2006 - 16:10 | Informe spam
Una consulta. ¿Es recomendable estas herramientas de terceros?. En un
artículo de VSAntivirus hacía referencia a parches de terceros que no
los consideraron recomendables el instalarlos

"..Al menos dos parches no oficiales han sido publicados, pero los
expertos no aconsejan su instalación..."
http://www.vsantivirus.com/na-04-10-06.htm

Asumo que no se refieren a los que mencionas, pero me quedo la duda
sobre si son realmente confiables y necesarios. Admito que dicho web,
www.determina.com no lo conozco y por ello también mi pregunta.

Agradezco los comentarios y sugerencias que me brinden.

ACD
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida