Tema: Sobre el parche de Microsoft para ADODB.Stream

[Danae]

Parche de Microsoft para ADODB.Stream
Las buenas noticias son que Microsoft ha liberado un parche fuera del ciclo de actualizaciones habituales, para contrarrestar las vulnerabilidades recientemente explotadas por el código conocido como "Download.Ject", "Scob", "Toofer", etc.

Las malas, que está disponible en Internet el código para aprovecharse de esta vulnerabilidad, aún después de instalado el parche.

El parche impide la ejecución del control ActiveX "ADODB.Stream", que ha sido utilizado para acceder a las máquinas de los usuarios, desde máquinas de sitios ampliamente visitados, que han sido alteradas por piratas informáticos la semana pasada, tal como anunciábamos en VSAntivirus en su oportunidad.

Dada la urgencia mediática creada por esta vulnerabilidad, Microsoft ha decidido adelantarse a la próxima fecha de liberación oficial de parches (segundo martes de cada mes).

Puede tener más información sobre este parche, en nuestro artículo "Todo sobre ADODB.Stream y como proteger su PC", http://www.vsantivirus.com/faq-adodbstream.htm

Sin embargo, como se puede comprobar en una prueba de concepto publicada en Internet, aún después que el control "ADODB.Stream" es deshabilitado, todavía es posible lanzar programas en el sistema del usuario, sin que éste deba intervenir de algún modo en el proceso, y por solo visitar un sitio de confianza.

Aunque la conexión y la prueba de concepto es inocua al momento en que la probamos (abre un shell de CMD.EXE y espera a que el usuario pulse una tecla), no publicamos aquí su enlace, puesto que dicho código se encuentra en un sitio no confiable, y podría ser modificado maliciosamente sin advertencia alguna.

Por lo tanto, y aún luego del parche sugerido por Microsoft (que no es otra cosa que la modificación del registro que sugerimos en VSAntivirus hace unos días atrás), seguimos aconsejando enfáticamente la configuración que describimos en nuestro artículo "Configuración personalizada para hacer más seguro el IE", http://www.vsantivirus.com/faq-sitios-confianza.htm

Dicha configuración impide la ejecución de cualquier código ActiveX en sitios que no son de confianza (lo comprobamos con el exploit anteriormente mencionado).

Finalmente, es bueno tener en cuenta que si bien las características del último ataque a sitios Web conocidos, podrían hacer que esta clase de ataque vuelva a repetirse, es poco probable que el mismo se haga con sitios muy conocidos, debido a que la mayoría de los que utilizan Microsoft Internet Information Services 5.0 (IIS), se han actualizado con el parche existente

Más información: http://www.vsantivirus.com/parche-adodbstream.htm


Hay que seguir teniendo cuidado, no está todo resuelto por desgracia

[destroyer]

Muchas gracias  Danae.  Habra que tener cuidado si..  :wink:


Un saludo

[Dabo]

Finalmente, es bueno tener en cuenta que si bien las características del último ataque a sitios Web conocidos, podrían hacer que esta clase de ataque vuelva a repetirse

algo he leido, esta previsto pero supongo que estaran los admins al tanto, pero de sites no tan grandes igual les pilla en pelotas  :?: