"Sumando y Construyendo Conocimiento"

Como proteger Windows XP y 2003 Server de Grave Vulnerabilidad 0-Day de Junio 2010 (CVE-2010-1885)

Como ha sido publicado en algunos portales de seguridad, el dia 5 de Junio Microsoft fue notificado por Tamis Ormandy (Google Security Reseach) de una vulnerabilidad en Help & Support Center de Windows XP y Windows Server 2003, la cual lamentablemente fue divulgada en las sec-list el dia 9 de Junio, no dando tiempo a Microsoft para que pueda solucionar el problema correctamente.

Luego de su publicacion el dia 9, pasaron 2 dias y salio un exploit publico en metasploit que esta siendo usando actualmente para afectar equipos de forma dirigida, razon por la cual levantamos una Prueba de Concepto sobre esta vulnerabilidad el dia 14 de Junio para mostrar como opera esta explotacion y tambien como bloquearla temporalmente.

A continuacion veran 2 videos, uno de la explotación de la vulnerabilidad en base a nuestra prueba de concepto hecha en insecure.cl y la otra sobre como aplicar este fix o parche temporal para bloquear esta vulnerabilidad para Windows XP y Windows 2003 Server.

1- La Explotacion de la Vulnerabilidad

2- La Solucion temporal a esta vulnerabilidad

A continuación enumeramos los links,prueba de concepto (PoC), recursos o parches para solucionar esta vulnerabilidad y la información sobre esta misma.

Prueba de Concepto:

La prueba de Concepto la pueden encontrar en http://down.insecure.cl/PoC/01  , esta prueba de concepto puede variar dependiendo del navegador usado, version de Media Player y otras variables. pero si al ejecutar el archivo simple.asx (Video) nos ejecuta una consola MS-DOS con el comando ping localhost -t es porque su equipo es vulnerable a este 0-day.

UPDATE (16/Junio): Algunas de las variantes en la prueba de Concepto son:

1) Con Windows Media 11 (WM11) preguntara si desea ejecutar el contenido (ver imagen), pero esto puede ser agregado con tecnicas de ingenieria social para hacer que los usuarios acepten el contenido, haciendo ilusion a un video prohibido por ejemplo.

2) Al dia de ayer mientras muchos antivirus no detectaban este ataque, Microsoft Security Essential lo detectaba. Hoy muchos antivirus estan detectando nuestra PoC (ver imagen 2)

Imagen 1

Imagen 2

Microsoft ha actualizado la información de su http://support.microsoft.com/kb/2219475  y ahora ofrece descargar el Fix temporal para solucionar el problema (hace lo mismo del video, pero en un programa clic and play)... uno de los sintomas secundario es que los links de ayuda en el panel de control no van a funcionar temporalmente, pero en un mal menor frente a los ataques inminentes de esta vulnerabilidad. Microsoft realmente ha respondido muy rapidamente a este problema, lo cual se agradece.

Solucion Temporal Manual:

ir a notepad y abrirlo e ingresar lo siguiente:

Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\HCP]

Luego guardar ese archivo en el escritorio como FIX.reg y ejecutarlo desde el escritorio (ver video)

Solucion Temporal Microsoft:

Ir a http://support.microsoft.com/kb/2219475  y ir a :

Quedo atento a sus comentarios o consultas.

Links y referencias:

http://blogs.technet.com/b/srd/archive/2010/06/10/help-and-support-center-vulnerability-full-disclosure-posting.aspx

http://www.microsoft.com/technet/security/advisory/2219475.mspx

http://www.hispasec.com/unaaldia/4247/ejecucion-comandos-arbitrarios-microsoft-windows

http://www.securityfocus.com/bid/40725/info

Saludos Cordiales

Manuel Moreno

Insecure Team