El d?a 7 de junio, se descubr?a una grave vulnerabilidad en unos ActiveX de Yahoo! Messenger que permit?a la ejecuci?n de c?digo arbitrairo a trav?s de la web. El c?digo necesario para aprovechar el problema se hizo p?blico, y oblig? a Yahoo! a publicar, apenas unas horas despu?s, una nueva versi?n de su producto. Ofrecemos una prueba de concepto para que cualquiera pueda comprobar a qu? se est? expuesto con esta vulnerabilidad.
Las dos vulnerabilidades se encontraban en las utilidades Webcam Image
Upload y View de Yahoo! Estos Controles Active X son instalados por
defecto como parte de Yahoo! Messenger y son accesibles a trav?s de
Internet Explorer. Esto permite crear p?ginas especialmente manipuladas
que ejecuten c?digo en el sistema con los privilegios del usuario que
lance la aplicaci?n. El problema concreto reside en Yahoo! Webcam Upload
(ywcupl.dll) y Yahoo! Webcam Viewer (ywcvwr.dll) y en sus respectivas
propiedades “server”. Se puede provocar un desbordamiento de pila que
conllevar?a una ejecuci?n de c?digo. Las versiones vulnerables de estas
librer?as son la 2.0.1.4 (y anteriores) para ambas.
Lo que hace realmente peligrosa esta vulnerabilidad, es que el problema
es aprovechable a trav?s de Internet Explorer, capaz de acceder a esas
DLL a trav?s de ActiveX. Yahoo! actu? r?pidamente y pocas horas despu?s
de hacerse p?blico el anuncio lanz? su versi?n 8.1.0.401, que
solucionaba el problema sustituyendo a la 8.1.0.249.
En Hispasec hemos preparado una prueba de concepto que aprovecha la
vulnerabilidad y permite la descarga y ejecuci?n de c?digo con s?lo
visitar una p?gina web. El archivo de prueba que hemos preparado se
descarga al directorio ra?z (C:) del usuario con nombres aleatorios
compuestos por una sola letra (con el formato X.exe). El programa
descargado es una aplicaci?n inofensiva alojada en nuestros servidores,
que simula que la pantalla se derrite. Cuando se cierra esta aplicaci?n,
el proceso explorer.exe puede ser reiniciado, sin causar perjuicio
alguno en el sistema. Despu?s de realizar la prueba, si se es
vulnerable, se recomienda borrar el archivo descargado. Algunos
antivirus detectar?n la p?gina que aprovecha la vulnerabilidad como
troyano, y el programa como “joke”, o broma, pero insistimos en lo
inocuo de la prueba de concepto y el programa.
La prueba de concepto est? alojada en: (ATENCI?N: Si se visita con
Yahoo! Messenger sin parchear e Internet Explorer, descargar? y
ejecutar? una aplicaci?n que simula que la pantalla se derrite. Es
posible que despu?s de esto el proceso explorer.exe se reinicie):
http://blog.hispasec.com/laboratorio/recursos/yahooi/exploit.html
Si se es vulnerable y el programa llega a ejecutarse, se recomienda
encarecidamente actualizar Yahoo! Messenger desde
http://messenger.yahoo.com/download.php
Con esta prueba de concepto, se pretende demostrar lo grave de la
vulnerabilidad. En lugar de una aplicaci?n inofensiva, que insistimos
algunos antivirus pueden detectar como “joke” (broma), un atacante
podr?a utilizar una p?gina web, o un mensaje con formato HTML, para
distribuir virus, gusanos o troyanos que infectar?an de forma autom?tica
y transparente al usuario. La vulnerabilidad a d?a de hoy sigue siendo
aprovechada y no todos los antivirus son capaces de detectar la p?gina
del exploit como potencialmente peligrosa. En muchas ocasiones, los
usuarios no actualizan el software que no forme parte del sistema
operativo. Esta es una excelente excusa para que se siga la misma
pol?tica con el sistema operativo que con los programas que se ejecutan
en ?l.
Para aquellos lectores que ya hayan actualizado su sistema y no sean vulnerables, pueden visualizar un v?deo en el que se muestra el efecto del exploit en:
http://www.hispasec.com/laboratorio/video_yahoo.htm
Desde Hispasec, como siempre, recomendamos desactivar los ActiveX en la
zona de Internet del navegador Internet Explorer, y ejecutar ?ste con
los m?nimos privilegios.
M?s informaci?n:
Yahoo! Webcam ActiveX Controls
http://messenger.yahoo.com/security_update.php?id=060707
Sergio de los Santos
[email protected]
Fuente:
http://www.hispasec.com/unaaldia/3152/