Se ha publicado una vulnerabilidad en sitemas Microsoft Windows que puede ser utilizada por ciberdelincuentes para comprometer equipos vulnerables. Afecta al Centro de Ayuda y Soporte (HSC) que llevan incorporado los sistemas Windows. Este programa no valida convenientemente ciertos enlaces o URLs, de forma que al acceder a una página web especialmente formada se puede aprovechar esta vulnerabilidad para ejecutar código en el ordendor del usuario.

Existe una prueba de concepto en circulación por lo que en breve se esperea que pueda haber ataques específicos.

Puesto que esta vulnerabilidad se instrumenta a través del navegador web, su utilización obtendrá los mismos privilegios que el usuario que esté validado (de aquí la importancia de navegar con un usuario con privilegios limitados). Hemos publicado en los foros las salvaguardas recomendadas por Microsoft mientras desarrollan una solución.

Por otra parte, Adobe vuelve a tener problemas (otra vez) con Flash Player y Air. Se recomienda actualizar a la versión 10.1.53.64 ó 9.0.277.0 de Flash Player y a la versión 2.0.2.12610 de AIR, tal como indica este artículo.

Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Storage Server 2003
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional

Riesgo:   Alto

El primer problema está causado por un error en la función "MPC::HTML::UrlUnescapeW()", dentro de la aplicación Centro de Ayuda y Soporte Técnico (Helpctr.exe) que no comprueba correctamente el código de retorno de "MPC::HexToNum ()" cuando evade ciertas direcciones URL, lo que podría permitir a atacantes remotos eludir restricciones de Whitelist (lista blanca) e invocar a archivos arbitrarios de la Ayuda.

La segunda vulnerabilidad está causada por un error de validación de entrada en la función "GetServerName()" en el script "C:\WINDOWS\PCHealth\HelpCtr\System\sysinfo\commonFunc.js" invocado a través de "ShowServerName()", incluido en "C:\WINDOWS\PCHealth\HelpCtr\System\sysinfo\sysinfomain.htm", que podría ser explotada por atacantes remotos para ejecutar código arbitrario de secuencia de comandos en el contexto de seguridad del Centro de Ayuda y Soporte Técnico.

Mediante la combinación de estas vulnerabilidades, un atacante remoto puede inyectar código malicioso en el Centro de Ayuda y Soporte Técnico y ejecutar comandos arbitrarios en un sistema vulnerable engañando a un usuario para que visite una página web especialmente diseñada.

VUPEN ha confirmado la vulnerabilidad y la ejecución remota de código en Internet Explorer 8 y 7 con todos los parches instalados los sistemas Windows XP SP3.

VUPEN ha probado la siguiente solución:

Deshabilitar el manejador de URIs "HLP://" a través del Registro de Windows cambiando el nombre "PCH" en "HKEY_CLASSES_ROOT" (por ejemplo, a "HCP-old" o "HCP-disabled").

Una explicación detallada de como aplicar esta solución temporal puede encontrarse en este artículo.

http://www.microsoft.com/technet/security/advisory/2219475.mspx
http://lists.grok.org.uk/pipermail/full-disclosure/2010-June/074986.html
http://www.vupen.com/english/advisories/2010/1417
http://secunia.com/advisories/40076/

Fuente:  VUPEN www.vupen.com