• Domingo 17 de Noviembre de 2024, 17:27

Autor Tema:  Vulnerabilidad Crítica En Visual Studio 2005  (Leído 1851 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Vulnerabilidad Crítica En Visual Studio 2005
« en: Sábado 4 de Noviembre de 2006, 14:20 »
0
Información extraida de vsantivirus
Se ha anunciado una nueva vulnerabilidad del tipo Zero day, relacionada con Visual Studio 2005, y según Secunia, activamente explotada al momento actual. Sin embargo, con la información actualmente disponible, podemos decir que el riesgo para usuarios domésticos es mínimo.

En un reciente aviso de seguridad, Microsoft confirmó haber sido alertado de la aparición de un código del tipo prueba de concepto (PoC), que podría ser utilizado como exploit en una debilidad relacionada con un control ActiveX que afecta ciertas configuraciones de Windows.

Aunque los detalles sobre el exploit no han sido revelados, según Microsoft el mismo atacaría una vulnerabilidad específicamente detectada en "WmiScriptUtils.dll", una biblioteca de Windows relacionada con Visual Studio 2005.

Según la información, un script con una llamada al objeto ActiveX "WMI Object Broker control", incluido en dicho DLL, afectaría algunas instalaciones con Internet Explorer (incluido el IE7), permitiendo la ejecución remota de código.

Quienes ejecuten Visual Studio 2005 en Windows Server 2003 y Windows Server 2003 Service Pack 1 con sus configuraciones por defecto, que incluye la Configuración de Seguridad Avanzada activada (Enhanced Security Configuration), no son afectados.

Si estos usuarios utilizan Internet Explorer 7, pueden estar en riesgo al visitar un sitio malicioso, solo si activan la característica "ActiveX Opt-in" en la Zona de Internet (o sea, si habilitan el "contenido activo" en esta zona, que en el IE7 viene desactivado por defecto).

Usuarios con Internet Explorer 6, están en peligro con la configuración estándar (el IE6 por defecto tiene habilitado el "contenido activo" para la Zona de Internet).

WMI (Windows Management Instrumentation), es un conjunto de servicios de Windows que permiten realizar consultas sobre información genérica del sistema, aplicaciones y eventos, las que pueden ser accedidas por programas externos.

La biblioteca de enlace afectada no corresponde al WMI propiamente dicho, sino a una serie de funciones que facilitan el acceso de la información aportada a scripts realizados dentro de Visual Studio.

El control "WMI Object Broker" es utilizado por el asistente de ayuda de WMI en Visual Studio 2005.

Muchos sistemas Windows tienen WMI instalado, especialmente en sitios de trabajo donde esto permite que los administradores puedan llevar a cabo un monitoreo del sistema.

Sin embargo, solamente los sistemas de desarrollo que utilizan WMI, tendrán este archivo en particular, lo que reduce significativamente el número de computadoras en las cuales el exploit puede ser eficaz.

Visual Studio 2005 proporciona una variedad de herramientas para la creación de sitios Web y aplicaciones para Windows.


Solución:

Si usted no tiene instalado Visual Studio 2005, y su computadora no está en un entorno corporativo que tenga habilitado el Windows Management Instrumentation (WMI) para un monitoreo del sistema, no existe ningún peligro por la acción de este exploit.

Si usted utiliza Visual Studio 2005 y WMI, puede eludir el riesgo de ser atacado, si aplica el kill-bit a la CLSID correspondiente, tal como se explica en Microsoft Security Advisory 927709 ("Suggested Actions", "Workarounds", "Prevent the WMI Scripting control from running in Internet Explorer").

Más información:

Microsoft Security Advisory (927709)
Vulnerability in Visual Studio 2005 Could Allow Remote Code Execution
www.microsoft.com/technet/security/advisory/927709.mspx

CVE-2006-4704
www.cve.mitre.org/cgi-bin/cvename.cgi?n ... -2006-4704

Microsoft Visual Studio 2005 WMI Object Broker Remote Code Execution Vulnerability
http://www.securityfocus.com/bid/20843

Microsoft Visual Studio WMI Object Broker ActiveX Control Code Execution
http://secunia.com/advisories/22603
El pasado son solo recuerdos, el futuro son solo sueños