Avisos 14 de June, 2012

Vulnerabilitat 0-day a Microsoft Core XML

Microsoft ha publicat un avís de seguretat d'emergència, fora del seu cicle mensual, per informar sobre una vulnerabilitat (CVE-2012-1889) a Microsoft XML Core Services 3.0, 4.0, 5.0, i 6.0 (MSXML). La vulnerabilitat podria permetre l'execució remota de codi si un usuari visita una pàgina web especialment dissenyada amb navegador Internet Explorer, o obre un document de tipus Office maliciós. Diversos equips de resposta a incidents han comunicat la existència d'atacs dirigits a grups d'usuaris que utilitzen aquesta vulnerabilitat, amb la consideració que aquesta informació no s'ha fet pública fins que Microsoft ha publicat el seu avís.

Recursos afectats:
Microsoft Windows XP
 Microsoft Windows Server 2003
 Microsoft Windows Vista
 Microsoft Windows Server 2008
 Microsoft Windows Server 2008 R2
 Microsoft Windows 7
 Microsoft Office 2003 i 2007
 

Impacte:

Execució remota de codi.


Solució:

A l'espera de la publicació d'una actualització que solucioni el problema definitivament, Microsoft ha publicat un pegat temporal (FixIt) per prevenir l'explotació de la vulnerabilitat. Els detalls per a la descàrrega i instal·lació d'aquest pegat estan disponibles en l'article 2719615 de la base de coneixement de Microsoft (veure Referències).
 
No hi ha disponible informació detallada sobre quines accions realitza el pegat de tipus Fixit de Microsoft per la qual cosa, en cas de desplegament massius, es recomana provar en un entorn controlat per tal d'identificar possibles efectes adversos al sistema o programari de tercers que provoqui problemes a l'operativa habitual.
 
Actualització 14/6/2012:
Microsoft ha publicat informació addicional sobre la solució temporal de tipus FixIt. Segons una entrada publicada al bloc Security Research & Defense (veure Referències). El pegat modifica en temps real components utilitzats per Internet Explorer, per eliminar la vulnerabilitat. El pegat abans de realitzar les modificacions, realitza una sèrie de comprovacions per assegurar que s'estan aplicant correctament, pel que no hauria de tenir cap impacte advers en el funcionament normal de les aplicacions i el sistema. L'únic efecte apreciable és un petit increment en el temps d'arrencada del navegador. Per aquest motiu, un cop aplicada l'actualització definitiva que serà publicada properament, es recomana des instal·lar el FixIt, encara que no és imprescindible.
 
Altres mesures de mitigació recomanades pel fabricant són:
 Implementació de l'eina EMET 3.0 (Enhanced Mitigation Experience Toolkit), que implementa diverses mesures de seguretat que dificulten l'explotació d'aquesta i qualsevol altra vulnerabilitat.
 Configurar Internet Explorer de manera que es pregunti a l'usuari abans d'executar o desactivar seqüències d'ordres de tipus ActiveX, a la zona de seguretat d'Internet i Intranet local.
 
Quan es publiqui l'actualització definitiva, es podrà descarregar mitjançant el servei Windows Update, o consultant els butlletins corresponents de Microsoft.
 
Contenció
 
Actualització 14/6/2012: Hi ha firma de contenció carregada a la plataforma de sensors IPS "McAfee Network Security Platform" (Intrushield).


Detall:

La vulnerabilitat es produeix quan el component MSXML intenta accedir a un objecte en memòria que no s'ha inicialitzat, aquesta acció permet realitzar manipulacions a l'àrea de memòria de tal manera que un atacant podria executar codi arbitrari en el context de l'usuari que ha iniciat sessió.
 
Actualització 14/6/2011:
el Fixit utilitza el paquet d'eines de compatibilitat d'aplicacions de Windows per posar pegats en temps d'execució les llibreries afectades (msxml3.dll, msxml5.dll, msxml6.dll), cada vegada que s'inicia Internet Explorer. Aquest canvi en les llibreries fa que Internet Explorer inicialitzeu la variable que provocava la vulnerabilitat en ser invocada.
 
L'identificador CVE de la vulnerabilitat és CVE-2012-1889.



Refs:

• Nou 14/6/2012: MSXML: Fix it before fixing it (Microsoft Security Research & Defense Blog) https://blogs.technet.com/b/srd/archive/2012/06/13/msxml-fix-it-before-fixing-it.aspx

• Document informatiu sobre seguretat de Microsoft (2719615) http://technet.microsoft.com/en-us/security/advisory/2719615

• Article a la base de coneixement de Microsoft per descarregar i instal•lar el FixIt. http://support.microsoft.com/kb/2719615

• Entrada al bloc Google Online Security http://googleonlinesecurity.blogspot.com.es/2012/06/microsoft-xml-vulnerability-under.html

Publicat a: Avisos