19
agosto
2005

Exploit MSDDS.DLL a través de Internet Explorer

Continúa la racha de exploits para MS/Windows
[Vulnerabilidades] 
Se ha publicado un exploit para una vulnerabilidad en Microsoft DDS Library Shape Control (MSDDS.DLL) que puede ser aprovechada desde una página web. De momento no hay parche oficial por parte de Microsoft.

A efectos prácticos, el atacante puede diseñar una web para provocar la ejecución de código arbitrario en aquellos sistemas que visiten la página maliciosa con Internet Explorer y tengan instalada una versión vulnerable de MSDDS.DLL.

La PoC publicada
http://www.frsirt.com/exploit s/20050817.IE-Msddsdll-0day.php

MSDDS.DLL no se instala en Windows por defecto, aunque si puede estar en tu sistema al formar parte de otro software que hayas instalado.

Si haces una búsqueda en tu sistema y no aparece el archivo MSDDS.DLL, no eres vulnerable. Aun teniendo el mencionado archivo, la vulnerabilidad depende de la versión. De momento se ha confirmado en MSDDS.DLL versión 7.0.9064.9112, aunque se espera que Microsoft confirme el listado de versiones vulnerables. [ACTUALIZACION: según Microsoft las versiones vulnerables son la 7.0.9064.9112 y la 7.0.9446.0.]

Microsoft se encuentra investigando la vulnerabilidad y ofrece ya algunas recomendaciones para mitigar el problema a la espera del parche
http://www.microsoft.com/technet/security/advisory/906267.mspx

Aquí en el laboratorio hicimos algunas pruebas sobre la vulnerabilidad y su prevención, a nivel de redes corporativas es fácil parar el ataque a nivel de proxy, o con filtros de contenidos, IPS, etc, atendiendo al ID del componente afectado.

A nivel estación de trabajo lo más fácil en estos casos es impedir que el componente afectado, MSDDS.DLL, pueda ser llamado desde Internet Explorer. Basta con tocar una entrada del registro de Windows. En ISC/SANS han publicado incluso alguna utilidad para hacer la modificación directamente
http://isc.sans.org/msddskillbit.php

Hay otras soluciones, por ejemplo utilizar otro navegador distinto a IE que no soporte ActiveX, como Firefox.

En cuanto a los antivirus que han estado más atentos al tema y han metido la firma correspondiente, este es el resultado a fecha 19/08/2005 a las 12:01:39 (CET)

AntiVir -nada-
Avast -nada-
AVG -nada-
Avira -nada-
BitDefender -nada-
CAT-QuickHeal -nada-
ClamAV detecta [Exploit.HTML.MSDSS]
DrWeb -nada-
eTrust-Iris -nada-
eTrust-Vet -nada-
Fortinet -nada-
F-Prot -nada-
Ikarus -nada-
Kaspersky -nada-
McAfee detecta [Exploit-MSDDS]
NOD32v2 -nada-
Norman -nada-
Panda -nada-
Sophos -nada-
Sybari detecta [Exploit-MSDDS]
Symantec -nada-
TheHacker -nada-
VBA32 -nada-

Enviado por bquintero a las 13:06 | Enlace permanente | Comentarios (3) | Trackbacks (1)
Comentarios
Re: Exploit MSDDS.DLL a través de Internet Explorer

Existe un exploit para inventariar el hw de una red

Posted by: william at junio 23,2006 00:09
Re: Exploit MSDDS.DLL a través de Internet Explorer

Comprueba los ultimos exploits si afecta tu Internet Explorer a traves de este sitio web :http://www.livezone.es/test-internet-explorer.Encontraras los ultimos exploits para el browser internet explorer.

Posted by: Cornel at enero 25,2007 20:02
Re: Exploit MSDDS.DLL a través de Internet Explorer

Microsoft Windows Msdds.dll object command execution
Win-msdds-command-execution (21895) The risk level is classified as HighHigh Risk

Description:

Microsoft Windows operating systems running the Msdds.dll library version 7.0.9064.9112 could allow a remote or local attacker to execute arbitrary code. When instantiating the Microsoft DDS Library Shape Control (Msdds.dll) object, or other COM objects, as ActiveX controls, a memory corruption error can occur. A remote attacker could exploit this vulnerability by creating a malicious Web page and hosting it on a Web site or by sending it to a victim as an HTML email. The attacker could execute arbitrary code on the system and take complete control over the victim's system or cause Internet Explorer to crash when the victim opens the Web page.

Platforms Affected:

* Microsoft Corporation: Microsoft Internet Explorer 5.01 SP4
* Microsoft Corporation: Microsoft Internet Explorer 5.5 SP2
* Microsoft Corporation: Microsoft Internet Explorer 6.0
* Microsoft Corporation: Microsoft Internet Explorer 6.0 SP1
* Microsoft Corporation: Windows 98
* Microsoft Corporation: Windows 98 Second Edition
* Microsoft Corporation: Windows Me
* Microsoft Corporation: Windows 2000 SP4
* Microsoft Corporation: Windows Server 2003
* Microsoft Corporation: Windows Server 2003 Itanium
* Microsoft Corporation: Windows Server 2003 SP1
* Microsoft Corporation: Windows Server 2003 SP1 Itanium
* Microsoft Corporation: Windows Server 2003 x64 Edition
* Microsoft Corporation: Windows XP Pro x64 Edition
* Microsoft Corporation: Windows XP SP1
* Microsoft Corporation: Windows XP SP2
* Nortel: CallPilot Any Version

Remedy:

Apply the appropriate patch for your system, as listed in Microsoft Security Advisory MS06-072. See References.

Note: Microsoft originally provided a patch for this vulnerability in MS05-052, but it has been superceded by the patch released with MS05-054, MS06-004, MS06-013, MS06-021, MS06-042, and MS06-067 which have also been superceded with the patch released with MS06-072. See References.

As a workaround, follow the procedures as listed in Microsoft Security Advisory (906267). See References.

For CallPilot:
Apply the fix as listed in Security Advisory P-2005-0056-Global, available from the Nortel Networks Web site. See References. A login account is required for access.

Consequences:

Gain Access

Posted by: Cornel at febrero 16,2007 20:51
Trackbacks
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/24/tbZ3ping
Reemplazando "nospam" por "com"
Boletín 00024 - 22/08/2005


1.- This is a High Threat Advisory for W32/IRCBot.worm!MS05-039.
2.- Trend Micro Medium Risk Virus...

Posted by: Weblog de Mauricio (W.O.L.F.) R. Arreola González at agosto 23,2005 02:40
Enviar un comentario