El fallo se ha confirmado en el componente HP Info Center, preinstalado en la mayoría de portátiles HP, en concreto en uno de los HP Quick Launch Buttons. La librería HPInfoDLL.dll utiliza métodos inseguros, que permiten la ejecución de código. Al estar marcado en el registro como "safe for scripting", Internet Explorer puede invocarlo libremente a través de JavaScript. A efectos prácticos, con sólo visitar una página web con Internet Explorer, se podría ejecutar código. Si esto se hace con privilegios de administrador, el sistema quedaría completamente comprometido.
Además, se ha hecho público el exploit, lo que implica que "el trabajo sucio" ya está hecho para los potenciales atacantes. En la página donde se ha publicado el exploit, se asegura que afecta a HP Info Center v1.0.1.1 en Windows 2000, XP, 2003 y Vista (quizás con este último la ejecución de código sea más compleja).
Muchas compañías de portátiles y sistemas en general, venden Windows preinstalados con un gran número de "herramientas" propias de la marca o bien de terceros. Se supone que mejoran el rendimiento, la integración del sistema operativo con el hardware y otras muchas ventajas que ofrecen mayor comodidad para el usuario. Sin embargo, en ocasiones pueden suponer un problema de seguridad. Además de que el usuario desconoce qué tiene realmente instalado, a mayor número de aplicaciones mayor el riesgo en general. También hay que añadir que en muchas ocasiones deshacerse de este software integrado resulta cuando menos complejo e incluso peligroso para la estabilidad del sistema.
No es la primera vez que ocurre algo parecido. En noviembre de 2006, se descubrió una vulnerabilidad en el control ActiveX LunchApp.APlunch que podía ser aprovechada por atacantes para ejecutar código. El fallo afectaba a los Windows que por defecto vienen instalado en muchos de los portátiles Acer. El problema se debía a que el control ActiveX incluía un método Run inseguro que ejecutaba cualquier archivo pasado por parámetros. Esto podía ser aprovechado para ejecutar sin permiso cualquier programa que se encontrara en el sistema a través de una página especialmente manipulada. Básicamente, lo mismo que ha ocurrido con HP.
Mientras se publica una solución, las contramedidas son varias. Se puede activar el kill bit para el CLSID 62DDEB79-15B2-41E3-8834-D3B80493887A. También es muy recomendable utilizar las zonas de Internet Explorer para limitar el uso de ActiveX a páginas confiables. Incluso es posible renombrar temporalmente el archivo DLL que causa el problema (aunque se perderán las funcionalidades del producto).
Pablo Molina
http://www.hispasec.com
