Total Security - totalsecurity.com.br
Vulnerabilidade no IE permite auto-execução de arquivo
Uma vulnerabilidade pode permitir atacantes remotos à executarem códigos arbitrários no sistema do cliente rodando o Microsoft Internet Explorer.A vulnerabilidade pode ser explorada através de um arquivo HTML que se auto-executa ao visitar o site malicioso. O arquivo HTML auto-executável inclui um código embutido que abusa do objeto Shell Helper para obter um arquivo de atalho (.lnk), alterando seus paramêtros, salva-o no disco e então executa o arquivo apontado para ser um atalho. Isso irá resultar na execução de código arbitrário.
Exploit
A prova do conceito está dísponivel no link abaixo:
http://www.malware.com/exe-cute-html.zip
Solução
A versão pode ser explorada usando o Interpretador de Aplicação em HTML (mshta.exe) e abusar do objeto ActiveX Shell.Application para criar objetos Shell Helper. Isto pode possibilitar a reduzir o risco posto pela vulnerabilidade removendo ou renomeando o arquivo mshta.exe. O Shell.Application poderia também ser configurado com a seguinte alteração no registro:
-------Começo do Arquivo------
REGEDIT4
[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerActiveX Compatibility{13709620-C279-11CE-A49E-444553540000}]
Compatibility Flags=dword:00000400
Comments=Shell.Application kill-bit/killbit 20040102
Reason#1=http://seclists.org/lists/fulldisclosure/2004/Jan/0002.html
Reason#2=Self-Executing HTML: Internet Explorer 5.5 and 6.0 Part IV
-------Final do Arquivo------
Fonte: Guerra Digital
Exploit
A prova do conceito está dísponivel no link abaixo:
http://www.malware.com/exe-cute-html.zip
Solução
A versão pode ser explorada usando o Interpretador de Aplicação em HTML (mshta.exe) e abusar do objeto ActiveX Shell.Application para criar objetos Shell Helper. Isto pode possibilitar a reduzir o risco posto pela vulnerabilidade removendo ou renomeando o arquivo mshta.exe. O Shell.Application poderia também ser configurado com a seguinte alteração no registro:
-------Começo do Arquivo------
REGEDIT4
[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerActiveX Compatibility{13709620-C279-11CE-A49E-444553540000}]
Compatibility Flags=dword:00000400
Comments=Shell.Application kill-bit/killbit 20040102
Reason#1=http://seclists.org/lists/fulldisclosure/2004/Jan/0002.html
Reason#2=Self-Executing HTML: Internet Explorer 5.5 and 6.0 Part IV
-------Final do Arquivo------
Fonte: Guerra Digital
URL Fonte: https://totalsecurity.com.br/noticia/385/visualizar/
Comentários