Home
About
Archives
Contactenos
Ayuda | Help

19  09 2013

Vulnerabilidad en Internet Explorer (todas las versiones) podría permitir la ejecución remota de código

www.radians.com.ar © 2013Quería compartir con ustedes esta nota de seguridad cobre Internet Explorer y como solucionarlo. Es el workarround sobre una nueva vulnerabilidad descubierta. Por favor, leanla y cualquier cosa consulten.

Saludos, Roberto Di Lello.
—-

Microsoft Security Advisory (2887505)

Una vulnerabilidad en Internet Explorer podría permitir la ejecución remota de código
Publicado : Martes, 17 de septiembre 2013
Versión : 1.0

Información General

Microsoft está investigando informes públicos de una vulnerabilidad en todas las versiones de Internet Explorer. Microsoft es consciente de ataques dirigidos que intentan aprovechar esta vulnerabilidad en Internet Explorer 8 e Internet Explorer 9. La aplicación de la solución Microsoft Fix it ", CVE – 2013-3893 MSHTML Shim Solución ", previene la explotación de este tema. Consulte la sección Acciones sugerido de este documento para obtener más información .

La vulnerabilidad es una vulnerabilidad de ejecución remota de código. La vulnerabilidad en la forma en que Internet Explorer obtiene acceso a un objeto en la memoria que se ha eliminado o no se ha asignado correctamente . La vulnerabilidad podría dañar la memoria de tal manera que podría permitir a un atacante ejecutar código arbitrario en el contexto del usuario actual dentro de Internet Explorer. Un atacante podría alojar un sitio web especialmente diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web.

Al término de esta investigación, Microsoft tomará las medidas apropiadas para proteger a nuestros clientes , que puede incluir una solución a través de nuestro proceso mensual de actualizaciones de seguridad de liberación , o una actualización de seguridad fuera de ciclo , en función de las necesidades del cliente .

Estamos trabajando activamente con socios en nuestra Microsoft Active Protections Program ( MAPP ) para proporcionar información que pueden utilizar para ofrecer una mayor protección a los clientes. Además , estamos trabajando activamente con los socios para supervisar el panorama de amenazas y adoptar medidas contra los sitios malintencionados que intentan aprovechar esta vulnerabilidad.

Microsoft sigue recomendando a los clientes que siguen la orientación en el Centro de Seguridad de habilitar un firewall , aplicar todas las actualizaciones de software e instalar software antimalware Seguridad y Microsoft .

Factores atenuantes :

De forma predeterminada , Internet Explorer en Windows Server 2003 , Windows Server 2008 , Windows Server 2008 R2 , Windows Server 2012 y Windows Server 2012 R2 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo soluciona esta vulnerabilidad.

De forma predeterminada , todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express, y los mensajes de correo electrónico Windows Mail abren HTML en la zona Sitios restringidos . La zona Sitios restringidos , que deshabilita los scripts y los controles ActiveX , ayuda a reducir el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico , el usuario todavía podría ser vulnerable a la explotación de esta vulnerabilidad a través de la posibilidad de un ataque basado en web.

Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual . Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

En caso de un ataque basado en web, el intruso podría alojar un sitio web que contiene una página web que se utiliza para aprovechar esta vulnerabilidad. Además , los sitios web y sitios web comprometidos que aceptan u hospedan proporcionado por el usuario contenido o anuncios podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. En todos los casos, sin embargo , el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. En su lugar , el atacante tendría que persuadir a los usuarios a visitar el sitio web, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.

Recomendación.

  • Aplique la solución Microsoft Fix it solution, "CVE-2013-3893 MSHTML Shim Workaround", que impide que la explotación de este tema. Microsoft Knowledge Base Article 2887505
  • Deploy el Enhanced Mitigation Experience Toolkit.

El Enhanced Experience Mitigación Toolkit (EMET) ayuda a mitigar la explotación de esta vulnerabilidad mediante la adición de capas de protección adicionales que hacen que la vulnerabilidad más difícil de explotar. EMET 3.0 y EMET 4.0 están soportados oficialmente por Microsoft. En este momento, EMET sólo está disponible en el idioma Inglés. Para obtener más información, vea el artículo Microsoft Knowledge Base Article 2458544.

Para obtener más información sobre la configuración de EMET, consulte la Guía del usuario EMET:

  • En los sistemas de 32 bits la Guía del usuario EMET se encuentra en C:\Program Files\EMET\EMET User’s Guide.pdf
  • En los sistemas de 64 bits la Guía del usuario EMET se encuentra en C:\Program Files (x86)\EMET\EMET User’s Guide.pdf

Configurar EMET 4.0 para Internet Explorer

EMET 4.0, en la configuración recomendada, se configura automáticamente para ayudar a proteger a Internet Explorer. No se requieren pasos adicionales.

EMET 3.0 para Internet Explorer desde la interfaz de usuario EMETConfigurar

Para agregar el iexplore.exe a la lista de aplicaciones que utilizan EMET, haga lo siguiente:

  • Click Start, All Programs, Enhanced Mitigation Experience Toolkit, and EMET 3.0.
  • Click Yes on the UAC prompt, click Configure Apps, then select Add. Browse to the application to be configured in EMET.
  • On 64-bit versions of Microsoft Windows, the paths to 32-bit and x64 installations of Internet Explorer are:

    C:\Program Files (x86)\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe

    On 32-bit versions of Microsoft Windows, the path to Internet Explorer is

    C:\Program Files\Internet Explorer\iexplore.exe

  • Click OK and exit EMET.

Configurar EMET 3.0 para Internet Explorer desde una línea de comandos

En los sistemas de 64 bits, para instalaciones de 32 bits de Internet Explorer ejecute el siguiente desde un símbolo del sistema con privilegios elevados:

"c:\Program Files (x86)\EMET\EMET_Conf.exe" --set "c:\Program Files (x86)\Internet Explorer\iexplore.exe"

And on 64-bit systems, for x64 installations of IE run the following from an elevated command prompt:

"c:\Program Files (x86)\EMET\EMET_Conf.exe" --set "c:\Program Files\Internet Explorer\iexplore.exe"

On 32-bit systems, for 32-bit installations of IE run the following from an elevated command prompt:

"c:\Program Files\EMET\EMET_Conf.exe" --set "c:\Program Files\Internet Explorer\iexplore.exe"

If you have completed this successfully, the following message appears:

"The changes you have made may require restarting one or more applications"

If the application has already been added in EMET, the following message appears:

Error: "c:\Program Files (x86)\Internet Explorer\iexplore.exe" conflicts with existing entry for "C:\Program Files (x86)\Internet Explorer\iexplore.exe"

For more information regarding running EMET_Conf.exe, see the command line help by running the following from a command prompt.

On 32-bit systems:
"C:\Program Files\EMET\EMET_Conf.exe" /?

On 64-bit systems:
"C:\Program Files (x86)\EMET\EMET_Conf.exe" /?

Configurar EMET para Internet Explorer using Group Policy

EMET puede ser configura via GPO para ser utilizado por el IE, revise el EMET User’s Guide:

  • On 32-bit systems the EMET User’s Guide is located in C:\Program Files\EMET\EMET User’s Guide.pdf
  • On 64-bit systems the EMET User’s Guide is located in C:\Program Files (x86)\EMET\EMET User’s Guide.pdf

Configurar Internet and Local intranet security zone settings to "High" to block ActiveX Controls and Active Scripting in these zones

Podemos mejorar la protección del aprovechamiento de esta vulnerabilidad si cambiamos la configuración de la zona de seguridad Internet para bloquear los controles ActiveX y Active Scripting. Podemos hacer esto, establezcamos la seguridad del explorador en Alta.

Para elevar el nivel de seguridad en Internet Explorer, debemos hacer los siguientes pasos:

  • En el Internet Explorer seleccionamos Tools, y hacemos clic Internet Options.
  • Seleccionamos la solapa Security, y luego seleccionamos Internet.
  • En la seccion Security level for this zone, movemos el nivel a High. Esto setea el nivel de seguridad para todos los sitios que visitemos.
  • Hacemos un clic en Local intranet.
  • En Security level for this zone, movemos el nivel a High. Esto setea el nivel de seguridad para todos los sitios que visitemos.
  • Hacemos clic en OK para aceptar los cambios y volver al Internet Explorer.

NOTA: Si el nivel no esta disponible, debemos hace un clic en Default Level, y luego mover el nivel a High.

NOTA: Al establecer el nivel en Alta, puede hacer que algunos sitios web no funcionen correctamente. Si tiene dificultades para utilizar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de utilizar, puede agregar ese sitio a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente, incluso con la configuración de seguridad en Alto.

Alcance de la solución. Hay efectos secundarios de bloqueo de los controles ActiveX y Active Scripting. Muchos sitios web que se encuentran en Internet o en una intranet utilizan controles ActiveX o Active Scripting para proporcionar funcionalidad adicional. Por ejemplo, un sitio o en la banca de comercio electrónico en línea pueden utilizar controles ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Bloquear los controles ActiveX o secuencias de comandos ActiveX es una configuración global que afecta a todos los sitios de Internet e intranet. Si no desea bloquear los controles ActiveX y Active Scripting para estos sitios, siga los pasos descritos en "Agregue sitios en los que confía a la zona de confianza de Internet Explorer sitios".

Agregar sitios en los que confía a la zona de sitios de confianza de Internet

Después de configurar Internet Explorer para bloquear los controles ActiveX y secuencias de comandos ActiveX en la zona Internet y en la zona Intranet local, puede agregar sitios en los que confía a la zona de Internet Explorer Sitios de confianza. Esto le permitirá seguir utilizando sitios web de confianza exactamente como lo hace al tiempo que colabora para protegerse de este ataque en los sitios no confiables. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

Para ello, siga estos pasos:

  • In Internet Explorer, click Tools, click Internet Options, and then click the Security tab.
  • In the Select a web content zone to specify its current security settings box, click Trusted Sites, and then click Sites.
  • If you want to add sites that do not require an encrypted channel, click to clear the Require server verification (https:) for all sites in this zone check box.
  • In the Add this website to the zone box, type the URL of a site that you trust, and then click Add.
  • Repeat these steps for each site that you want to add to the zone.
  • Click OK two times to accept the changes and return to Internet Explorer.

Nota Agregue todos los sitios en los que confía a no tomar ninguna acción perjudicial en su sistema. Dos en particular, que es posible que desee agregar: *. Windowsupdate.microsoft.com y *. Update.microsoft.com. Estos son los sitios que alojarán la actualización y requieren de un control ActiveX para instalar la actualización.

Configurar Internet Explorer para que pregunte antes de ejecutar los controles ActiveX o deshabilitar secuencias de comandos ActiveX en el Internet y la zona de seguridad de intranet local

Puede mejorar la protección del aprovechamiento de esta vulnerabilidad si cambia la configuración para que pregunte antes de ejecutar los controles ActiveX o deshabilitar secuencias de comandos ActiveX en el Internet y la zona de seguridad de intranet local. Para ello, siga estos pasos:

  • In Internet Explorer, haga clic en Opciones de Internet en el menú Herramientas.
  • Haga clic en la ficha Seguridad.
  • Haga clic en Internet y, a continuación, haga clic en Nivel personalizado.
  • Configuración 4.Under, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos o Desactivar y, a continuación, haga clic en Aceptar.
  • Haga clic en Intranet local y, a continuación, haga clic en Nivel personalizado.
  • En Configuración, en la sección Automatización, en Secuencias de comandos ActiveX, haga clic en Pedir datos o Desactivar y, a continuación, haga clic en Aceptar.
  • Haga clic en Aceptar dos veces para volver a Internet Explorer.

Nota Al deshabilitar las secuencias de comandos ActiveX en las zonas Internet e Intranet local de seguridad puede causar algunos sitios web no funcionen correctamente. Si tiene dificultades para utilizar un sitio web después de cambiar esta configuración y está seguro de que el sitio es seguro de utilizar, puede agregar ese sitio a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

Alcance de la solución. Hay efectos secundarios Preguntar antes de ejecutar secuencias de comandos ActiveX. Muchos sitios web que se encuentran en Internet o una intranet utilizan comandos ActiveX para aportar funciones adicionales. Por ejemplo, un sitio o en la banca de comercio electrónico en línea puede utilizar secuencias de comandos ActiveX para ofrecer menús, formularios de pedido o incluso movimientos de cuentas. Preguntar antes de ejecutar secuencias de comandos ActiveX es una configuración global que afecta a todos los sitios de Internet e intranet. Se le pedirá con frecuencia cuando se habilite esta solución. En cada pregunta, si confía en el sitio que está visitando, haga clic en Sí para ejecutar los controles ActiveX. Si no desea que se le pregunte para todos estos sitios, siga los pasos descritos en "Agregue sitios en los que confía a la zona de confianza de Internet Explorer sitios".

Agregar sitios en los que confía a la zona de sitios de confianza de Internet

Después de configurar Internet Explorer para exigir que le pregunte antes de ejecutar controles ActiveX y secuencias de comandos ActiveX en la zona Internet y en la zona Intranet local, puede agregar sitios en los que confía a la zona de Internet Explorer Sitios de confianza. Esto le permitirá seguir utilizando sitios web de confianza exactamente como lo hace al tiempo que colabora para protegerse de este ataque en los sitios no confiables. Se recomienda agregar solamente sitios en los que confíe a la zona Sitios de confianza.

Para ello, siga estos pasos:

  • In Internet Explorer, haga clic en Herramientas, haga clic en Opciones de Internet y, a continuación, haga clic en la ficha Seguridad.
  • In el cuadro Seleccione una zona de contenido web para especificar la configuración de seguridad, haga clic en Sitios de confianza y, a continuación, haga clic en Sitios.
  • En caso de que usted desea agregar sitios que no requieran un canal cifrado, haga clic para desactivar la Requerir comprobación del servidor (https :) para todos los sitios de esta zona casilla de verificación.
  • In el cuadro Agregar este sitio Web a la zona, escriba la dirección URL de un sitio en el que confíe y haga clic en Agregar.
  • Repita estos pasos para cada sitio que desee agregar a la zona.
  • Haga clic en Aceptar dos veces para confirmar los cambios y regresar a Internet Explorer.

Nota Agregue todos los sitios en los que confía a no tomar ninguna acción perjudicial en su sistema. Dos en particular, que es posible que desee agregar: *. Windowsupdate.microsoft.com y *. Update.microsoft.com. Estos son los sitios que alojarán la actualización y requieren de un control ActiveX para instalar la actualización.

Mas Información: Microsoft Security Advisory (2887505) – Vulnerability in Internet Explorer Could Allow Remote Code Execution

Si te ha gustado este post, por favor considera Dejar un Comentario o Suscribirse a este sitio por medio de RSS para tener los futuros artículos desarrollados en su lector de feeds.

7 Comentarios to “Vulnerabilidad en Internet Explorer (todas las versiones) podría permitir la ejecución remota de código”

  1. […] Vulnerabilidad en Internet Explorer (todas las versiones) podría permitir la ejecución… […]

  2. Estimad Roberto,
    Mañana estare por BsAs, cerca del microcentro y tengo disponible desde las 16:00 a 18:30 para ver si factible reunirnos.

    La idea es revisar tu asesoramiento en los servicios de la plataforma Windows.

    te dejo mis datos de contacto
    Jorge H. Gallardo
    Resp de Seguridad de la Informacion.

  3. Jorge, estuve complicado con varios proyectos y coplicaciones laborales. Contame, seguis por BA? En que te puedo ayudar?
    Cualquier cosa escribime a mi direccion de hotmail que los recibo tambien en el celular; y sino mandame tambien un mensaje por TW.

    Saludos, Roberto DL

  4. hola necesitaria ayuda aunque sea dono algo porque estoy loco por el siguiente tema.

    Primero felicidades por esta pagina que nos ayuda tanto, le admiro un monton y me gustaria ser como usted en el futuro (por el momento tengo 24 años…asi que aun me queda)

    el tema es el siguiente, nos han pedido en la empresa que estoy hacer una auditoria de carpetas. Es decir, en el servidor windows 2012 o 2008 tenemos dos, tendremos carpetas compartidas con ficheros. Los usuarios de la empresa que somos 5 accedemos a esto y quieren los de la LOPD que tengamos cada mes un listado con los accesos fallidos, correctos, modificaciones, borrados por usuario o ataques externos claro

    Se que hay guias para auditar pero luego lo que veo que es un engorro es seguir el visor de eventos ya que solo por moverte por una carpeta te genera varias entradas.

    Como podria hacer y que pasos tengo que seguir???
    Le estaré muy agradecido al igual que si hay algun software barato para hacer esto o a base de scripts. Como le digo si necesita que le done algo lo haré encantado pero necesito ayuda en esto de verdad.

    Muchas gracias y un fuerte abrazo desde españa en concreto desde Vigo

  5. Manuel, disculpa mi demora en contestar pero estuve con algunos temas de salud, y estoy medio complicado con los tiempos y voy respondiendo de a poco a medida que puedo. Cuando tengas asi algo muy urgente escribime tambien por twitter. Justo se junto que tambien que cambie de trabajo y estoy con estos cambios y adaptaciones de los tiempos.

    Muchisimas gracias por tu comentarios, realmente son un alago!
    Respecto a tu pregunta, calculo que lo que ya tienes activado/habilitado es la auditoria a objetos de tu Server, con lo cual, si es medio engorroso al momento de realizar algun reporte. Lo que te recomiendo es utilizar un software de terceros, una muy muy bueno es el siguiente:
    * ChangeAuditor for Windows File Servers http://www.questsoftware.es/changeauditor-for-windows-file-servers/
    Sino otra opcion podria ser:
    * File Server Auditing with Netwrix Auditor http://www.netwrix.com/es/file_server_reporting.html
    Igualmente voy a ver si encuentro alguno freeware o alguna otra alternativa. Que version de SO tenes?

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del sitio y mi twitter @RaDiansBlog, asi sumamos mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  6. tengo 2 discos de 500 GB pero diferentes marcas, pero cuando en ad. de discos quiero darle “nuevo volumen” solamente me sale habilitado “simple” y necesito ponerlo como reflejado para crearlo como disco espejo.
    gracias

  7. Rudy, disculpa mi demora en contestar pero estuve con algunos temas de salud, y estoy medio complicado con los tiempos y voy respondiendo de a poco a medida que puedo. Cuando tengas asi algo muy urgente escribime tambien por twitter. Justo se junto que tambien que cambie de trabajo y estoy con estos cambios y adaptaciones de los tiempos.

    Respecto a tu pregunta, te recomiendo ver la nota y leer los comentarios de la misma. En el caso de que sea distinta marca no es lo mejor pero funciona, el tema es que por performance limitara el disco de mas bajo pnivel. Lo que debes tener en cuenta que el disco que estas agregando tengo el mismo tamaño en bytes que el principal. La url de la nota es:
    * Como configurar un RAID 1 en Windows Server 2008 {HOWTO – Screencast} http://www.radians.com.ar/blog/?p=425

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del sitio y mi twitter @RaDiansBlog, asi sumamos mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

Dejar un comentario

« »