La vulnerabilidad más crítica, que permite la ejecución de código remoto a través de Outlook 2002, fue detectada por iDEFENSE el 10 de octubre de 2003 y notificada a Microsoft el 12 de noviembre. Una filtración de la misma comenzó a circular a partir del 21 de noviembre cuando iDEFENSE notificó la vulnerabilidad a sus clientes. Aunque a juzgar por el tiempo de reacción, parece que no ha condicionado mucho a Microsoft.
El problema se basa en la posibilidad de inyectar código a través de URLs «mailto» (RFC 2368), que se ejecutaría en la zona de seguridad local del sistema, con los mismos privilegios que el usuario afectado.
La explotación de la vulnerabilidad podría realizarse de forma automática con tan sólo visualizar páginas webs o mensajes de correo electrónico en formato HTML diseñados para la ocasión, sin necesidad de que el usuario realice ninguna acción adicional.
En cualquier caso la explotación con éxito de esta vulnerabilidad tiene un importante condicionante, ya que necesita que la página por defecto en Outlook 2002 sea la preconfigurada en la instalación. Si el usuario ha dado de alta alguna cuenta de correo, esta página por defecto será sustituida automáticamente por la bandeja de correo entrante «Inbox», mitigando las posibilidades del ataque.
Los detalles de la vulnerabilidad están disponibles en la dirección:
http://www.idefense.com/application/poi/display?id=79&type=vulnerabilities
El parche específico para esta vulnerabilidad en Outlook 2002, según idioma, puede encontrarse en:
http://www.microsoft.com/office/ork/updates/xp/olk1007a.htm#sub_2
Para corregir esta vulnerabilidad en Outlook 2002 y todas las anteriores detectadas en cualquiera de las otras aplicaciones que se incluyen en Office XP (Word, Excel, Access,…) se encuentra disponible el Service Pack 3 para Office XP en la dirección:
http://www.microsoft.com/downloads/details.aspx?familyid=85AF7BFD-6F69-4289-8BD1-EB966BCDFB5E&displaylang=es
La otras dos vulnerabilidades que afectan a Windows 2000 y MSN Messenger serán tratadas con más detalles en próximas entregas.
El parche para Windows 2000 puede ser descargado desde:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7F4C067C-5D34-48FB-A9FA-C2200243D4D2&displaylang=es
En el caso de MSN Messenger, la solución pasa por instalar la última versión, disponible en la dirección:
http://www.microsoft.com/downloads/details.aspx?FamilyID=d83d02b2-c82c-4ba1-aec2-584aabb057eb&DisplayLang=es
Bernardo Quintero
bernardo@hispasec.com
Noticias Hispasec
