-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-día 24/03/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Nuevas formas de aprovechar viejas vulnerabilidades
---------------------------------------------------

Los ficheros MDB (asociados habitualmente a Access) de Microsoft han
sido históricamente inseguros. Tanto, que Microsoft los considera
prácticamente equivalentes a un ejecutable puro y duro. Bajo esta
premisa, las vulnerabilidades en la librería que los procesa no son
corregidas, y los ficheros con extensión MDB bloqueados por su potencial peligrosidad. Los atacantes, sin embargo, han conseguido con bastante
ingenio aprovechar una vulnerabilidad crítica en ficheros MDB a través
de archivos DOC de documentos de Word.

Desde hace algunos meses se viene observando un repunte en los ataques
que aprovechan vulnerabilidades en el Jet Database Engine de Microsoft,
que procesa archivos MDB de bases de datos. Esta librería (en concreto msjet40.dll) sufre desde hace años varios problemas de seguridad que
permiten la ejecución de código. Con sólo abrir un fichero con extensión
MDB especialmente manipulado, un atacante podría ejecutar código
arbitrario. Los atacantes envían estos ficheros por correo y, al ser una extensión 'habitual' e inofensiva para muchos usuarios, el atacante
consigue su objetivo. De hecho estos ataques se suceden por oleadas cada
cierto tiempo, y muchos lo confunden con una nueva vulnerabilidad de
tipo '0 day' en el Jet Engine.

Lo que se ha descubierto hace algunos días no es una nueva
vulnerabilidad, sino una ingeniosa forma de aprovechar fallos
relativamente antiguos. Hasta ahora, las dos vulnerabilidades más graves encontradas en esta librería se hicieron públicas a mediados de 2005 y
finales de 2007 y, aunque los fallos son activamente aprovechados por atacantes, no han sido corregidos. Microsoft considera públicamente que
los ficheros MDB son 'cuasi' ejecutables, inherentemente inseguros, y
que el hecho de que se pueda ejecutar código a través de ellos no debe escandalizar más que el hecho de que alguien haga doble click sobre un
.exe y espere que algo sea ejecutado en el sistema. Así que la librería
no ha vuelto a ser actualizada desde 2004. Microsoft, por tanto, bloquea
por defecto la extensión en los clientes de correo Outlook y Windows
Mail de Vista e incluso Internet Explorer, pues deben ser considerados
como ejecutables.

Pero los atacantes han dado una nueva vuelta de tuerca a la forma
de aprovechar esta vulnerabilidad, invalidando las alegaciones de
Microsoft. Han hecho que sea explotable a través de archivos .DOC.
La 'excusa' de que los MDB son inseguros y por ello no es necesario
parchear la librería, deja de ser válida.

El truco que se ha observado en ciertos ataques se basa en que se accede
a través de un documento MS Word a la librería vulnerable para ser
explotada. El documento Word se modifica especialmente para acceder a
un archivo con la estructura de una base de datos Access pero sin la
extensión MDB. De hecho cualquier extensión es válida. Con esto se
consigue eludir las posibles restricciones basadas en la extensión,
que podrían bloquear el ataque.

En un ataque de este tipo en concreto, la víctima recibiría dos adjuntos
en el correo: un archivo .DOC y otro con extensión arbitraria (o ambos comprimidos en un ZIP). La víctima guardaría los archivos en un mismo directorio, y al abrir el documento de texto se accedería al exploit y
se ejecutaría el código arbitrario.

Microsoft ha publicado una alerta oficial. En ella se especifica que
sólo Windows Server 2003 Service Pack 2 y Windows Vista con y sin
Service Pack 1 incluyen una versión de la librería no vulnerable. En
la alerta hablan por fin de que tomarán medidas, por lo que es posible
que se publique un parche que solucione las dos vulnerabilidades
descubiertas en 2005 y 2007 de una vez por todas. Mientras, según
la alerta, están estudiando otros posibles vectores de ataque.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3439/comentar

Más información:

Vulnerability in Microsoft Jet Database Engine (Jet) Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/950627.mspx

Another Reason to Patch Microsoft Jet Vulnerabilities http://www.symantec.com/enterprise/security_response/weblog/2008/03/another_reason_why_microsoft_s.html


Sergio de los Santos
ssantos@hispasec.com


Tal día como hoy:
-----------------

24/03/2007: Cross site scripting en Oracle Server 10g
http://www.hispasec.com/unaaldia/3073

24/03/2006: Salto en la comprobación de secuencias numéricas IPSec en FreeBSD
http://www.hispasec.com/unaaldia/2708

24/03/2005: Nuevas vulnerabilidades en Mozilla Firefox
http://www.hispasec.com/unaaldia/2343

24/03/2004: Gusano Netsky.P el más propagado en las últimas 24 horas
http://www.hispasec.com/unaaldia/1977

24/03/2003: Los programas informáticos NO derriban aviones
http://www.hispasec.com/unaaldia/1611

24/03/2002: Microsoft desarrolla passwords basados en imágenes
http://www.hispasec.com/unaaldia/1246

24/03/2001: Vulnerabilidad en Eudora 5.02
http://www.hispasec.com/unaaldia/881

24/03/2000: Resumen de Bugtraq del 28-02-2000 al 05-03-2000
http://www.hispasec.com/unaaldia/514

24/03/1999: Microsoft responde a las críticas
http://www.hispasec.com/unaaldia/148


-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2008 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------

--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)