Vulnerabilidad VML

Hola:

.: Vulnerabilidad VML :.

Durante la última semana la cosa ha estado bastante revuelta por culpa de un nuevo zero-day de Microsoft.
El lunes (18-09-2006) la gente de SunsetBlog publicaba una nueva vulnerabilidad que afectaba al “Vecto Marckup Language” (VML) que es utilizado por el Internet Explorer y por el Outlook. Esta vulnerabilidad permite a un atacante ejecutar código en el sistema vulnerable a través de una web o de un correo-html.

El martes, ante la gravedad del asunto Microsoft publicaba un Advisory (925568) al respecto, en el que confirmaba el fallo y proponía algunas soluciones temporales de la que la mas sencilla sería “des-registrar” la librería Vgx.dll mediante el comando : regsvr32 -u “%ProgramFiles%\Common Files\Microsoft Shared\VGX\vgx.dll”, al día siguiente en el.blog de Securiteam ampliaron algo esta información.
El parche, como ya es habitual se hará esperar hasta el próximo boletín, el de Octubre.

Como era de esperar los exploits no han tardado en salir y el Miercoles era publicado en Millw0rm el “MS Internet Explorer (VML) Remote Buffer Overflow Exploit” y el Jueves el “MS Internet Explorer (VML) Remote Buffer Overflow Exploit (XP SP1)

El viernes la gente de “Zeroday Emergency Response Team (ZERT)” publicó el primer parche extraoficial y una página para testear que el parche está correctamente instalado, es curioso leer en el “Microsoft Security Response Center Blog” como, a pesar de que les parece estupendo que otra gente saque parches para sus vulnerabilidades, siguen recomendando que la gente instale los parches oficiales (yo también estoy de acuerdo pero esto tendría mas sentido si lo dicen cuando el parche esté publicado) aunque también dejan caer que es posible que si el parche está listo antes de los boletines de Octubre, será publicado fuera de ciclo.

Los ataques mediante esta vulnerabilidad se dispararon a mediados de semana según supimos ayer, sábado, gracias a la web de Netcraf. La compañía de hosting HostGator, sufrio un ataque efectuado mediante una vulnerabilidad desconocida hasta el momento, en su servicio de administración Cpanel, que fue utilizado para explotar la vulnerabilidad VML en todos los equipos que visitasen alguna de las webs hospedadas en sus servidores, siendo redirigidos a una web externa que contenía un exploit de esta vulnerabilidad que instalaba un troyano en las “víctimas”.

En WebSense han publicado un video en el que podemos ver el exploit del VML en acción:
http://www.websense.com/securitylabs/blog/blog.php?BlogID=82

Ref: http://cyruxnet.org/archivo.php?20060924.00

Un saludo.

Publicado en Noticias

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: