Los Xtras de Shockwave Provocan una Amenaza de Seguridad

Los xtras de Shockwave que son los responsables de una amenaza de seguridad que podría terminar en la ejecución de código malicioso por parte de un atacante.

Sergio Méndez Galindo
Sergio Méndez Galindo
17 de January · 563 palabras.
x

🕘 Resumen

El artículo describe cómo Adobe Flash Player instala Xtras sin información ni consentimiento previo del usuario. Estos Xtras están firmados digitalmente por Adobe o Macromedia, lo que abre la posibilidad de que un atacante pueda explotar vulnerabilidades en las versiones antiguas de estos extras.

El software Shockwave Player de Adobe/Macromedia se encarga de ejecutar contenido activo en sitios web diseñados con Macromedia o Adobe Director, y su plugin está disponible para todos los navegadores excepto Internet Explorer.

Cuando un video de Shockwave necesita un Xtra, el software los descarga e instala automáticamente sin informar al usuario. Esto podría ser explotado por hackers para hacerse sin autorización con versiones antiguas de estos extras y explotar sus vulnerabilidades de seguridad.

La solución temporal sugerida es deshabilitar el control ActiveX para Internet Explorer, pero aún no hay una solución definitiva para este problema. En resumen, los usuarios deben estar conscientes de este riesgo potencial y tomar medidas de precaución para minimizarlo.

La descripción de la nota de seguridad VU#519137 nos indica que Adobe Flash Player instala Xtras sin consentimiento ni información al respecto.
El programa instala Xtras o extras automáticamente, estos están firmados digitalmente por Adobe o Macromedia, lo que puede provocar que un atacante ataque vulnerabilidades de los xtras más antiguos.
DESCRIPCIÓN
Adobe Macromedia Shockwave Player es un software que ejecuta contenido activo en webs diseñadas con Macromedia o Adobe Director. El reproductor Shockwave está disponible como un plug-in para todos los navegadores web excepto Internet Explorer. En este caso la aplicación se ejecuta en forma de comando ActiveX.
Cuando un vídeo de Shockwave intenta emplear un Xtra, el programa lo descargará e instalará de forma automática si este está firmado digitalmente por la empresa. Esto sucede sin informar de forma alguna al usuario. Como la direcciónde descarga de los xtras está escrita en la propia película, esto puede dar la opción a un hacker de hacer de host para la versión anterior del complemento vulnerable y seguir explotando su fallo de seguridad cuando un video es reproducido.
IMPACTO
Logrando convencer a un usuario para ejecutar un contenido que trabaje con dicha aplicación (por ejemplo una página web o un mensaje (o archivo adjunto) de correo electrónico vía HTML , un atacante puede ser capaz de ejecutar código arbitrario con los privilegios del usuario (si el usuario en cuestión posee privilegios de administración el impacto puede ser muy grande)
SOLUCIÓN
Aún no conocemos soluciones a este problema, sin embargo se pueden aplicar algunas acciones para minimizar el riesgo:
1. DESHABILITAR EL CONTROL ACTIVEX PARA INTERNET EXPLORER
El control activeX de Shockwave puede ser deshabilitado asignando un bit de cierre en las siguientes entradas del registro:

{166B1BCA-3F9C-11CF-8075-444553540000}
{233C1507-6A77-46A4-9443-F871F945D258}

Más información disponible en http://support.microsoft.com/kb/240797.
Alternativamente, podemos salvar el siguiente texto como un archivo .REG e importarlo al registro para ejecutar el bit de cierre:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{166B1BCA-3F9C-11CF-8075-444553540000}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftInternet ExplorerActiveX Compatibility{166B1BCA-3F9C-11CF-8075-444553540000}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{233C1507-6A77-46A4-9443-F871F945D258}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftInternet ExplorerActiveX Compatibility{233C1507-6A77-46A4-9443-F871F945D258}]
"Compatibility Flags"=dword:00000400

2. USAR LA HERRAMIENTA EMET DE MICROSOFT
El Microsoft Enhanced Mitigation Experience Toolkit puede ser instalado para impedir la ejecución del citado código. El mayor porcentaje de seguridad se conseguirá en plataformas a partir de Windows 7, ya que soportan ASLR.
Click para acceder al video tutorial para implementar EMET 3.0 (inglés)
3. ACTIVAR DEP EN WINDOWS
Se debe considerar la activación de esta característica en sistemas Windows que lo soporten. Es efectivo sólo en determinados casos, pero suma algo de seguridad. ASLR o Adress Space Layout Randomization es necesario también aquí, por tanto no será soportado por sistemas anteriores a Vista o Server 2008.
4. LIMITAR ACCESO A ARCHIVOS DE DIRECTOR
Algo que podría ayudar a mitigar el problema es restringir el manejo de contenido de la aplicación “Director” que no sea de confianza. También debemos considerar ejecutar la extensión noscript para navegadores mozilla como Firefox.
5. USO DE LA VERSIÓN “COMPLETA” DE SHOCKWAVE
Realmente útil resulta instalar la versión completa en lugar de la versión “slim”. Esto se debe a que, para que un atacante pueda instalar una versión más antigua del xtra en el equipo, esta debe no estar presente con anterioridad.

Compara antivirus y software para acelerar el pc en nuestra web Mejor Antivirus

Comparte tu conocimiento y tus intereses con el mundo.

Publica un artículo →