Nueva vulnerabilidad en el sistema de
ayuda de Windows

Hispasec - una-al-día 09/04/2004  http://www.hispasec.com

El CERT ha anunciado la existencia de una importante vulnerabilidad de Internet Explorer y que afecta al sistema utilizado por la ayuda on line de Windows. En el momento de redactar este boletín no existe todavía ninguna actualización que corrija este problema, a pesar de que están circulando algunos exploits que se aprovechan de la misma. Debido a que la vulnerabilidad se encuentra en el sistema de ayuda de Windows, esta vez incluso aquellos usuarios que no utilizan Internet Explorer o Microsoft Outlook son también vulnerables.

Microsoft Internet Explorer no valida de forma correcta el origen del script que forma parte de los archivos CHM (Compiled Help) cuando éstos son procesados por los manejadores del protocolo ITS (Microsoft InfoTech Storage), que es el sistema utilizado por la ayuda online de Windows.

Las ayudas de Windows son una serie de archivos compilados donde están integrado el código fuente HTML, gráfico y, opcionalmente, scripts, controles ActiveX, funciones Java... Para la visualización de estas ayudas se utiliza Internet Explorer mediante la invocación de una URL con los protocolos its://, ms-its://, ms- itss:// o mhtml:// (entre otros).

El problema consiste en que Internet Explorer no aplica correctamente la protección de zona que impide la ejecución de código en páginas ubicadas en páginas remotas. Si se le pasa a Internet Explorer una URL del tipo mhtml:// que apunta a un archivo no existente, se puede forzar la ejecución de un archivo CHM remoto que contiene código hostil y que será ejecutado como si fuera un archivo local.

La vulnerabilidad puede, por tanto, ser explotada mediante la visita a una página web o al visualizar un mensaje que contenga el código que se aprovecha de la vulnerabilidad y que provocará la ejecución automática del código asociado dentro de la zona local. Lo que significará que se ejecutará con los mismos privilegios del usuario activo en el sistema.

Es importante señalar que incluso aquellos usuarios de Windows que no utilicen Internet Explorer como navegador pueden verse afectados por este problema. Debido a que, en la configuración por defecto, el sistema operativo asocia Internet Explorer como aplicación que gestiona este protocolo, el acceso a un enlace que utilice este protocolo provocará la ejecución del mismo. La forma más fácil de determinar la aplicación asociada al protocolo consiste en ejecutar una URL del tipo mthtml://localhost a través del menú Inicio->Ejecutar.

Gusanos que sacan provecho de esta vulnerabilidad.
Las características de esta vulnerabilidad, que permite la ejecución de código simplemente visitando una página web con una versión vulnerable de Internet Explorer, lo hacen especialmente atractivo como sistema para la infección y propagación de gusanos. En estos momentos tenemos constancia de la existencia de diversos gusanos que utilizan esta vulnerabilidad como mecanismo de distribución.

Ya son varios los programas antivirus que detectan e identifican las páginas que contienen el código que aprovecha la vulnerabilidad. Por ejemplo, una página HTML que contiene el exploit ya es identificada por diversos antivirus, tal como podemos determinar según el sistema de monitorización 24hx7d del laboratorio de Hispasec.

Microsoft no ha publicado todavía ninguna actualización que corrija este problema, por lo que la única forma de evitar la infección consiste en desactivar el manejador del protocolo. Para ello es preciso renombrar las siguientes claves del registro, dentro de HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
ms-its ms-itss its mk

Es importante indicar que realizar este cambio puede tener un impacto en el funcionamiento del sistema de ayuda de Windows.

Otra forma de detectar las páginas vulnerables consiste en disponer de un programa antivirus convenientemente actualizado que reconozca los intentos de utilización de esta vulnerabilidad.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1993/comentar

Más información:

Vulnerability in Internet Explorer ITS Protocol Handler
http://www.us-cert.gov/cas/techalerts/TA04-099A.html

Vulnerability Note VU#323070: Microsoft Internet Explorer does
not properly validate source of CHM components referenced by ITS
protocol handlers
http://www.kb.cert.org/vuls/id/323070

Microsoft Internet Explorer ITS Protocol Zone Bypass
Vulnerability
http://www.securityfocus.com/bid/9658

Prueba de concepto de la vulnerabilidad
http://www.securityfocus.com/bid/9658/exploit/

Nova vulnerabilitat al sistema d'ajuda de Windows
http://www.quands.info/stories/2004/04/09/itsie.html


Xavier Caballé
xavi@hispasec.com