Se ha hecho pública una nueva vulnerabilidad en el control ActiveX de Vídeo de Windows que se está utilizando para instalar malware mediante el navegador Internet Explorer. Al ser un 0 day , Microsoft no ha tenido tiempo de desarrollar una actualización para todos los sistemas aunque sí que ha definido unas salvaguardas.

Esta vez el problema viene de un viejo control de ActiveX que aun es accesible por Internet Explorer. Curiosamente parece que Microsoft no tenía conocimiento de su existencia "no hay uso por diseño de este Control ActiveX en Internet Explorer que incluya todos los Identificadores de Clase dentro de msvidctl.dll el cual aloja este Control".  

Esta vulnerabilidad permitiría a un atacante conseguir los mismos privilegios que el usuario local. Si el usuario con el que navegamos no es administrador, el riesgo será mucho menor.

El ISC del Instituto SANS ha recopilado una lista de dominios que utilizan esta vulnerabilidad y las reglas para detectar su uso mediante IDS/IPS.

Actualizaremos la información sobre esta vulnerabilidad en los foros de la web de Recursos CSIRT-CV.

Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Storage Server 2003
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional

Riesgo:   Alto

La vulnerabilidad 0 day detectada en el control ActiveX de Vídeo de Windows, está siendo aprovechada activamente en Internet. Existe un exploit público y parece que muchas páginas legítimas comprometidas están sirviendo para infectar los sistemas.

La vulnerabilidad está provocada por un error de desbordamiento de búfer basado en pila en la función 'MPEG2TuneRequest' de la librería msvidctl.dll. Un atacante remoto podría aprovechar este fallo para ejecutar código arbitrario con permisos del usuario del navegador.

Según VirusTotal, de momento pocos antivirus detectan el JavaScript que explota el fallo. Únicamente McAfee, AntiVir, VirusBuster y Microsoft lo reconocen. El ratio de detección mejora para el ejecutable que descarga.

Microsoft acumula dos 0 day sin solución por ahora. A finales de mayo Microsoft reconocía un problema de ejecución de código explotable a través de archivos de QuickTime, que no fue solucionado en las actualizaciones de junio. La diferencia con este nuevo 0 day en msvidct.dll es que en este caso, existe información pública sobre cómo aprovecharlo.

Hasta que Microsoft proporcione un parche para solucionar el problema, se recomienda aplicar las siguientes medidas para mitigar el riesgo de la vulnerabilidad:

* Desactivar ActiveX. Para ello debe activar el kill bit del control ActiveX, guardando el archivo con extensión .reg y ejecutándolo como administrador:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\
{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}] "Compatibility Flags"=dword:00000400

* Utilizar el asistente Fix It relacionado con esta vulnerabilidad en el sitio web de Ayuda y Soporte de Microsoft.

* Se recomienda a los usuarios de Internet Explorer, que utilicen Internet Explorer 7 o posterior, que puede ayudar a mitigar la vulnerabilidad utilizando la opción ActiveX opt-in.
  
Microsoft proporciona soluciones adicionales en la sección Workarounds del aviso de seguridad de Microsoft.

CVE-2008-0015

http://www.microsoft.com/technet/security/advisory/972890.mspx
http://blog.duba.net/read.php/225.htm
http://blog.duba.net/read.php/226.htm
http://www.kb.cert.org/vuls/id/180513
http://www.hispasec.com/unaaldia/3907/

Fuente:  Microsoft www.microsoft.com