27 de marzo de 2008

Nuevas formas de aprovechar viejas vulnerabilidades


Los ficheros MDB (asociados habitualmente a Access) de Microsoft han sido históricamente inseguros. Tanto, que Microsoft los considera prácticamente equivalentes a un ejecutable puro y duro.
  • Desde hace algunos meses se viene observando un repunte en los ataques que aprovechan vulnerabilidades en el Jet Database Engine de Microsoft, que procesa archivos MDB de bases de datos. Esta librería (en concreto msjet40.dll) sufre desde hace años varios problemas de seguridad que permiten la ejecución de código
  • El truco que se ha observado en ciertos ataques se basa en que se accede a través de un documento MS Word a la librería vulnerable para ser explotada. El documento Word se modifica especialmente para acceder a un archivo con la estructura de una base de datos Access pero sin la extensión MDB. De hecho cualquier extensión es válida. Con esto se consigue eludir las posibles restricciones basadas en la extensión, que podrían bloquear el ataque.
  • En un ataque de este tipo en concreto, la víctima recibiría dos adjuntos en el correo: un archivo .DOC y otro con extensión arbitraria (o ambos comprimidos en un ZIP). La víctima guardaría los archivos en un mismo directorio, y al abrir el documento de texto se accedería al exploit y se ejecutaría el código arbitrario.
  • Microsoft ha publicado una alerta oficial. En ella se especifica que sólo Windows Server 2003 Service Pack 2 y Windows Vista con y sin Service Pack 1 incluyen una versión de la librería no vulnerable. En la alerta hablan por fin de que tomarán medidas, por lo que es posible que se publique un parche que solucione las dos vulnerabilidades descubiertas en 2005 y 2007 de una vez por todas. Mientras, según la alerta, están estudiando otros posibles vectores de ataque.

Fuente: www.hispasec.com