CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

16/01/2012

Greu vulnerabilitat en productes McAfee

A través de Zero Day Initiative s’ha publicat un greu problema de seguretat en productes McAfee que permet l’execució remota de codi per part d’atacants. Encara que McAfee va ser informada de la fallada fa uns nou mesos, no s’ha solucionat el problema, per la qual cosa s’ha publicat la vulnerabilitat.

Risc: Crític

La fallada afecta els productes SaaS (Security-as-a-Service) de la companyia que utilitzen la llibreria myCIOScn.dll. En ella, el mètode MyCioScan.Scan.ShowReport accepta comandaments que són després executats per una altra funció sense cap tipus d’autenticació. Este ActiveX permetria llavors executar codi si la víctima visita una web especialment manipulada. L’atac és molt senzill de programar.

El més greu és que la companyia va ser avisada el passat 1 d’abril de 2011. Zero Day Initiative es l’organització que ha gestionat la vulnerabilitat. Segons la política de la companyia (imposada a l’agost de 2010) els fabricants disposen de 180 dies (sis mesos) per a corregir els errors reportats de forma privada. En cas contrari es faran públics. Nou mesos després del primer contacte (no s’ha especificat el perquè d’esta demora addicional), la vulnerabilitat ha eixit a la llum sense pegat oficial.

Des que a l’agost de 2010 Tippingpoint va decidir posar un límit de 180 dies als fabricants per a corregir les seues vulnerabilitats abans de fer-les públiques, en 2011 s’han tret a la llum d’esta manera fins a 29 alertes, que afecten companyies com a Cisco, HP, IBM o Microsoft. Açò significa que de vegades, per als grans fabricants, sis mesos continua sent “insuficient” per a publicar un pegat que solucione certes vulnerabilitats reportades de forma privada.

Sistemes Afectats:

McAfee SaaS Endpoint Protection 5.x

Referències:

None

Solució:

La solució, com de costum en estos casos, passa per activar el killbit de l’ActiveX per a impedir que s’instancie des d’Internet Explorer. En concret, s’ha d’establir el valor 0x00000400 en la branca del registre:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\209EBDEE-065C-11D4-A6B8-00C04F0D38B7
Notes:

http://www.zerodayinitiative.com/advisories/ZDI-12-012/
http://unaaldia.hispasec.com/2012/01/grave-vulnerabilidad-en-productos.html
http://secunia.com/advisories/47520/

Font: Hispasec una-al-día

CSIRT-CV