Se ha descubierto una grave vulnerablidad en el desinstalador via web del software de protección anticopia (incluido por Sony BMG en varios de sus CD's) "First4Internet XCP copy protection", que podría ser explotada por atacantes remotos para comprometer el sistema de un usuario.
La vulnerabilidad es ocasionada debido al control ActiveX "CodeSupport.ocx" que es instalado a través de Internet Explorer cuando el usuario desinstala el software XCP DRM al visitar el sitio web del vendedor. El control ActiveX está marcado como seguro, y soporta algunos métodos potencialmente peligrosos como "RebootMachine", "InstallUpdate", y "IsAdministrator". Esto podría ser explotado para instalar código arbitrario en el sistema de un usuario con solo visitar un sitio web malicioso.
Websense Security Labs ha reportado la existencia de sitios que están explotando exitosamente el agujero de seguridad creado por el desinstalador del rootkit de Sony. Ponen como ejemplo, este sitio alojado en Estados Unidos:
http://www.canadianidol.info/About.html
Para saber si su sistema es vulnerable, puede visitar esta página que detecta si ese control ActiveX "CodeSupport.ocx" está o no instalado:
http://www.cs.princeton.edu/~jhalderm/xcp/detect.html
Nota: esta vulnerabilidad solo es explotable al visitar un sitio malicioso con Internet Explorer, quienes utilicen navegadores que no soportan ActiveX como por ejemplo Firefox, SeaMonkey u Opera, no están en riesgo.
Solución:
Quienes hayan verificado ser vulnerables podrán descargar y aplicar este parche para el registro:
http://www.cs.princeton.edu/~jhalderm/xcp/cs-blocker.reg
Lo que hace esta entrada es setear el kill bit para el control ActiveX "CodeSupport.ocx" CLSID {4EA7C4C5-C5C0-4F5C-A008-8293505F71CC}
[Actualización 17/11/2005 20:14 Arg.]
Además de lo ya indicado, setear también el kill bit para el CLSID
{80E8743E-8AC5-46F1-96A0-59FA30740C51}
Esto se puede hacer muy fácilmente sin necesidad de editar el registro, mediante el SpywareBlaster, como se indica aquí:
http://www.dozleng.com/updates/Using-SpywareBlaster-t7053.html
http://www.wilderssecurity.com/showthread.php?p=608591#post608591
Créditos:
Vulnerabilidad reportada por J. Alex Halderman, Ed Felten y Muzzy.
Referencias:
Secunia Advisory: SA17610
Sony CD First4Internet XCP Uninstallation ActiveX Control Vulnerability
http://secunia.com/advisories/17610/
FrSIRT/ADV-2005-2454
Sony CD First4Internet XCP Uninstallation ActiveX Vulnerabilities
http://www.frsirt.com/english/advisories/2005/2454
Freedom to Tinker
Sony"s Web-Based Uninstaller Opens a Big Security Hole; Sony to Recall Discs
http://www.freedom-to-tinker.com/?p=927
Freedom to Tinker
Update: Sony Uninstaller Hole Stays Open
http://www.freedom-to-tinker.com/?p=928
Freedom to Tinker
Immunize Yourself Against Sony"s Dangerous Uninstaller
http://www.freedom-to-tinker.com/?p=930
Muzzy's research about Sony's XCP DRM system
http://hack.fi/~muzzy/sony-drm/
Websense Security Labs Alert
Malicious Website: Sony Uninstaller Exploits
http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=340
SONY BMG
Uninstall Requests
http://cp.sonybmg.com/xcp/english/uninstall.html
Attack targets Sony 'rootkit' fix
By Alorie Gilbert, CNET News.com
http://news.zdnet.com/2100-1009_22-5956707.html
[Actualización 17/11/2005 - 19:42 Arg.]
Agregada referencia omitida inicialmente al artículo de CNET News.com
