Desinstalador de software anticopia de Sony crea agujero de seguridad en Internet Explorer

Por marcelo-ar - 17 de Noviembre, 2005, 2:02, Categoría: General

Se ha descubierto una grave vulnerablidad en el desinstalador via web del software de protección anticopia (incluido por Sony BMG en varios de sus CD's) "First4Internet XCP copy protection", que podría ser explotada por atacantes remotos para comprometer el sistema de un usuario.

La vulnerabilidad es ocasionada debido al control ActiveX "CodeSupport.ocx" que es instalado a través de Internet Explorer cuando el usuario desinstala el software XCP DRM al visitar el sitio web del vendedor. El control ActiveX está marcado como seguro, y soporta algunos métodos potencialmente peligrosos como "RebootMachine", "InstallUpdate", y "IsAdministrator". Esto podría ser explotado para instalar código arbitrario en el sistema de un usuario con solo visitar un sitio web malicioso.

Websense Security Labs ha reportado la existencia de sitios que están explotando exitosamente el agujero de seguridad creado por el desinstalador del rootkit de Sony. Ponen como ejemplo, este sitio alojado en Estados Unidos:
http://www.canadianidol.info/About.html

Para saber si su sistema es vulnerable, puede visitar esta página que detecta si ese control ActiveX "CodeSupport.ocx" está o no instalado:
http://www.cs.princeton.edu/~jhalderm/xcp/detect.html

Nota: esta vulnerabilidad solo es explotable al visitar un sitio malicioso con Internet Explorer, quienes utilicen navegadores que no soportan ActiveX como por ejemplo Firefox, SeaMonkey u Opera, no están en riesgo.

Solución:
Quienes hayan verificado ser vulnerables podrán descargar y aplicar este parche para el registro:
http://www.cs.princeton.edu/~jhalderm/xcp/cs-blocker.reg
Lo que hace esta entrada es setear el kill bit para el control ActiveX "CodeSupport.ocx" CLSID {4EA7C4C5-C5C0-4F5C-A008-8293505F71CC}

[Actualización 17/11/2005 20:14 Arg.]
Además de lo ya indicado, setear también el kill bit para el CLSID
{80E8743E-8AC5-46F1-96A0-59FA30740C51}
Esto se puede hacer muy fácilmente sin necesidad de editar el registro, mediante el SpywareBlaster, como se indica aquí:
http://www.dozleng.com/updates/Using-SpywareBlaster-t7053.html
http://www.wilderssecurity.com/showthread.php?p=608591#post608591

Créditos:
Vulnerabilidad reportada por J. Alex Halderman, Ed Felten y Muzzy.

Referencias:
Secunia Advisory: SA17610
Sony CD First4Internet XCP Uninstallation ActiveX Control Vulnerability
http://secunia.com/advisories/17610/

FrSIRT/ADV-2005-2454
Sony CD First4Internet XCP Uninstallation ActiveX Vulnerabilities
http://www.frsirt.com/english/advisories/2005/2454

Freedom to Tinker
Sony"s Web-Based Uninstaller Opens a Big Security Hole; Sony to Recall Discs
http://www.freedom-to-tinker.com/?p=927

Freedom to Tinker
Update: Sony Uninstaller Hole Stays Open
http://www.freedom-to-tinker.com/?p=928

Freedom to Tinker
Immunize Yourself Against Sony"s Dangerous Uninstaller
http://www.freedom-to-tinker.com/?p=930

Muzzy's research about Sony's XCP DRM system
http://hack.fi/~muzzy/sony-drm/

Websense Security Labs Alert
Malicious Website:   Sony Uninstaller Exploits
http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=340

SONY BMG
Uninstall Requests
http://cp.sonybmg.com/xcp/english/uninstall.html

Attack targets Sony 'rootkit' fix
By  Alorie Gilbert,  CNET News.com
http://news.zdnet.com/2100-1009_22-5956707.html

[Actualización 17/11/2005 - 19:42 Arg.]
Agregada referencia omitida inicialmente al artículo de CNET News.com

El Blog

Calendario

<<   Noviembre 2005  >>
LMMiJVSD
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30     

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker