Vulnerabilidad en desinstalación de Sony XCPHa sido reportada una vulnerabilidad en un control ActiveX usado para la desinstalación del First4Internet XCP (usado por Sony-BMG), que podría ser explotada por un atacante remoto para comprometer el sistema del usuario.
El problema se debe a un error de diseño en el sitio web desde donde se descargaba el desinstalador del controvertido rootkit de Sony.
La vulnerabilidad es causada por el control "CodeSupport.ocx", que se instala a través del Internet Explorer, cuando el usuario desinstala el software de protección anticopia XCP DRM de Sony, visitando el sitio web del vendedor.
Cuando se llenaba el formulario para recibir una copia del desinstalador, el sitio instala dicho control, creado por First4Internet. Este control puede permanecer en el sistema aún después que se ha abandonado la página de Sony. (NOTA: La opción es UNINSTALL REQUESTS, pero actualmente no está disponible)
Este control ActiveX es marcado como "safe-for-scripting" (seguro para scripting), soportando varios métodos potencialmente peligrosos como "RebootMachine", "InstallUpdate" e "IsAdministrator", lo que permite que pueda ser explotado por cualquier sitio web malicioso para instalar código de forma arbitraria en el equipo afectado.
Existen códigos que pueden ser usados como exploits, lo que convierte a este problema en algo crítico.
Su equipo puede ser vulnerable, solo si descargó la herramienta de desinstalación de Sony desde determinada página.
Solución:Borrar el control ActiveX vulnerable del sistema.
Si usted no utilizó el desinstalador original de la herramienta de protección contra copias de Sony, entonces está a salvo de esta vulnerabilidad. Los enlaces a las siguientes herramientas de desinstalación, no tienen el control ActiveX mencionado:
Eliminación del rootkit XCP DRM de Sony-BMG
http://www.vsantivirus.com/rootkit-xcp-drm-sony.htm Si utilizó un formulario en la página de cp.sonybmg.com, o tiene dudas sobre el método usado por el desinstalador para llegar a su PC, igualmente descargue el siguiente archivo de registro de nuestro sitio, y aplíquelo haciendo doble clic sobre él:
http://www.videosoft.net.uy/sony-codesupportocx-killbit.reg Esto creará el "kill-bit" al ActiveX vulnerable, impidiendo su ejecución. El "kill-bit" es un determinado valor (1024), que se aplica a la entrada "Compatibility Flags" del ActiveX correspondiente, impidiendo que dicho control se instale o ejecute.
Otra forma de eliminar el ActiveX vulnerable, es buscar y borrar el archivo "CodeSupport.ocx".NOTA VSA: Si intenta ingresar al formulario en la página de Sony que descarga el ActiveX mencionado, y está utilizando Windows XP SP2, una advertencia de ventana emergente le será mostrada con el siguiente texto:
Este sitio puede que requiera el siguiente control de
ActiveX: 'Software Update Helper Cabinet (First 4
Internet)' de 'First 4 Internet Ltd'. Haga clic aquí para
instalar... Créditos:
Muzzy, J. Alex Halderman, and Ed Felten.
Más información:
Sony CD First4Internet XCP
Uninstallation ActiveX Control Vulnerability
http://secunia.com/advisories/17610/Sony CD First4Internet XCP
Uninstallation ActiveX Vulnerabilities
http://www.frsirt.com/english/advisories/2005/2454Sony's Web-Based Uninstaller
Opens a Big Security Hole; Sony to Recall Discs
http://www.freedom-to-tinker.com/?p=927Muzzy's research about Sony's XCP DRM system
http://hack.fi/~muzzy/sony-drm/Sony CD First4Internet XCP DRM Software Security Issue
http://secunia.com/advisories/17408/Relacionados:
¿Está usted infectado con el rootkit de Sony-BMG?
http://www.vsantivirus.com/14-11-05.htmEliminación del rootkit XCP DRM de Sony-BMG
http://www.vsantivirus.com/rootkit-xcp-drm-sony.htmTecnología anticopia de Sony compromete la seguridad
http://www.vsantivirus.com/vul-xcp-sony.htmIRCBot.PH. Utiliza la tecnología anticopia de Sony
Fuente:
http://www.vsantivirus.com/vul-codesupport-161105.htm
