Butlletí de Microsoft: control ActiveX d'Outlook no segur

Butlletí de Microsoft:
Control no segur a Outlook

Última Modificació del Document
9 de setembre de 2001

Resum		Valoració
Hi ha una vulnerabilitat a un control ActiveX utilitzat per l'Outlook que pot permetre a un atacant remot executar codi arbitrari a l'ordinador de la víctima.		Severitat
		Fiabilitat
		Probabilitat
Sistemes afectats
Microsoft Outlook 98 Microsoft Outlook 2000 Microsoft Outlook 2002
Data publicació avís		ID a CVE
13-07-2001 20:30		CAN-2001-0538
Data modificació avís		Utilització remota
09-09-2001 16:30		Sí
Versió de l'avís
2

Actualització 9 de setembre de 2001

Microsoft ha publicat, finalment, l'actualització que elimina aquesta vulnerabilitat a Microsoft Outlook (versions 2000 i 2002):

Outlook 2002
http://office.microsoft.com/donwloads/2002/OLK1003.aspx
Outlook 2000
http://office.microsoft.com/downloads/2000/outlctlx.aspx

Microsoft 98, tot i que també està afectat pel problema, no rep suport per part de Microsoft raó per la que no s'ha publicat l'actualització per aquesta versió.

Descripció

Microsoft Outlook fa servir un control ActiveX que té una vulnerabilitat que pot ser aprofitada per un atacant remot per tal d'esborrar el correu, modificar la informació emmagatzemada al calendari o executar codi arbitrari a l'ordinador de la víctima (el codi arbitrari s'executa amb els privilegis de l'usuari).

L'atacant pot aprofitar-se d'aquesta vulnerabilitat de dues formes diferents. La primera forma consisteix en que la víctima visita una pàgina web especialment preparada amb codi HTML que accedeix al control ActiveX vulnerable. La segona forma consisteix en l'enviament d'un missatge amb codi HTML que accedeix al control ActiveX en el moment que l'usuari llegeix el missatge.

Outlook 2002 no es vulnerable a aquest segon mètode. Outlook 98 i 2000 si que són vulnerables, excepte si s'ha instal·lat l'actualització anomenada Outlook E-mail Security Update.

Microsoft ha publicat un butlletí (MS01-038) que descriu aquesta vulnerabilitat però no ofereix encara cap actualització per la primera forma d'utilització d'aquesta vulnerabilitat (quan l'usuari visita una pàgina web hostil). Microsoft recomana deshabilitar temporalment l'accés als controls ActiveX a la zona se seguretat Internet. Les instruccions que Microsoft facilita són les següents:

A l'Internet Explorer, accedir a Tools (Herramientas) Options (Opciones).
Fer clic a la secció Security (Seguridad).
Fer clic a la icona anomenada Internet i, a continuació, al botó anomenat Custom Level (Personalizar Nivel).
Desplaçar la llista de valor fins trobar un anomenat Run ActiveX controls and plug-ins (Ejecutar controles ActiveX y complementos). Seleccionar Disable (Desactivar) i fer clic al botó OK (Aceptar) per tal de tornar a la pàgina Options (Opciones).
Tornar a fer clic a OK (Aceptar) per tancar la pàgina Options (Opciones).

Els usuaris avançats poden optar per escollir Prompt (Preguntar) en comptes de Disable (Deshabilitar). Això permet l'execució dels controls ActiveX un cop l'usuari el confirmi cada vegada que l'Internet Explorer demani l'autorització.

Valoració

Es tracta d'una vulnerabilitat molt important que pot permetre a un atacant executar codi arbitrari a l'ordinador de la víctima. Els usuaris de l'Outlook 98 i 2000 haurien d'instal·lar l'Outlook E-mail Security Update.

Fins que Microsoft publiqui una actualització es recomana deshabilitar l'execució dels controls ActiveX a la zona Internet.

Informació addicional

Butlletí de Microsoft
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
security/bulletin/MS01-038.asp

Butlletí de George Guninski (amb un exploit d'exemple)
http://www.guninski.com/vv2xp.html

Actualització de seguretat per a Outlook 98 i 2000
(Outlook E-mail Security Update)
Aquesta actualització no elimina tots els efectes d'aquesta vulnerabilitat però no permet la seva utilització a traves de missatge
http://office.microsoft.com/downloads/2000/Out2ksec.asp

Contacte: info@quands.com