[Vulnerable] Microsoft --> Programador de tareas vulnerable

message from Ille Corvus on 24 Jul 2004
MS04-022 Programador de tareas vulnerable (841873)
http://www.vsantivirus.com/vulms04-022.htm

Se ha detectado un problema de seguridad en el Programador de tareas
de Windows 2000 y XP, que podría permitir a un usuario malintencionado
tomar el control del sistema.

Nivel de gravedad: Crítico
Impacto: Ejecución remota de código
Fecha revisión: 13 de julio de 2004
Fecha actualización: 19 de julio de 2004

Software afectado:

- Microsoft Windows 2000 SP2, SP3, SP4
- Microsoft Windows XP
- Microsoft Windows XP SP1
- Microsoft Windows XP 64-Bit Edition SP1

Software NO afectado:

- Microsoft Windows Server 2003
- Microsoft Windows Server 2003 64-Bit Edition
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows NT Workstation 4.0 SP6a
- Microsoft Windows NT Server 4.0 SP6a
- Microsoft Windows NT Server 4.0 Terminal Server Edition SP6
- Microsoft Windows 98
- Microsoft Windows 98 Second Edition (SE)
- Microsoft Windows Millennium Edition (Me)

Componentes afectados:

- Internet Explorer 6 SP1 cuando se instala en Windows NT 4.0 SP6a

Windows NT Workstation 4.0, Windows NT Server 4.0 y Windows NT 4.0
Terminal Server Edition, no son afectados por defecto. Sin embargo, si
se instala Internet Explorer 6.0 SP1, el sistema será vulnerable.

Otras versiones anteriores no mencionadas, podrían o no ser
vulnerables, pero ya no son soportadas por Microsoft.

Descripción

Esta actualización resuelve una nueva vulnerabilidad reportada en
forma privada.

La vulnerabilidad se produce por un desbordamiento de búfer en el
planificador de tareas (Tareas programadas). El fallo permite la
ejecución de código en forma remota.

Tareas programadas de Microsoft (Mstask.dll), es un API (Application
Program Interface), o interfase de programa de aplicación utilizado
para solicitar y efectuar servicios de nivel inferior ejecutados por
el sistema operativo, basado en un objeto COM (Modelo de Objetos
Componentes). Se trata de un control ActiveX que proporciona un
servicio para planificar y ejecutar comandos arbitrarios en el
sistema.

Este elemento genera un desbordamiento de búfer que puede permitir a
un atacante la ejecución remota de código. El desbordamiento se
produce por no verificarse adecuadamente algunos atributos de los
nombres de los comandos que están programados para ejecutarse.

El fallo puede explotarse si un intruso convence a su víctima para que
visite una página Web maliciosa, o le envía un mensaje en formato
HTML. También si lo obliga a ejecutar un archivo con extensión .JOB.

Los archivos .JOB son creados por el Programador de tareas cuando se
añade una nueva tarea a través del panel de control, y se almacenan en
la carpeta WINDOWS\TASKS.

Si el usuario activo posee privilegios de administrador, un atacante
podría aprovechar esta vulnerabilidad para tomar el control completo
del sistema infectado, con la posibilidad de instalar programas; ver,
cambiar o borrar datos; o crear nuevas cuentas asignándoles
privilegios totales a las mismas.

Sin embargo, es necesaria la interacción con el usuario para explotar
este fallo satisfactoriamente. Si el usuario actual no posee
privilegios de administrador, los riesgos se reducen.

Actualización 19/jul/04

Han surgido versiones sobre la aparición de nuevos exploits que
afirman saltearse el parche publicado para esta vulnerabilidad. Aunque
Microsoft no confirma ni desmiente esto, el lunes 19 publicó la
siguiente ayuda complementaria a la implantación del parche. Se
sugiere seguir los siguientes consejos, además de aplicar la
actualización correspondiente.

Esta modificación en el registro no corrige la vulnerabilidad en si
misma, pero ayuda a disminuir el riesgo de su explotación maliciosa en
forma remota, o por medio de otros vectores conocidos de posibles
ataques (se sugiere la instalación del parche de todos modos).

Lo sugerido por Microsoft:

1. No abra ni guarde archivos .JOB que usted reciba desde fuentes no
confiables, o en mensajes no solicitados desde cualquier fuente. Esta
vulnerabilidad podría explotarse cuando un usuario ve un archivo .JOB.
No abra archivos con extensión .JOB.

2. Deshabilite el manejador dinámico de iconos para archivos
JobObject, cambiando el valor por defecto en la siguiente clave del
registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JobObject\shellex\IconHandler

Para ello, desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

Luego, abra la siguiente rama del registro:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Classes
\JobObject
\shellex
\IconHandler

Pulse en la carpeta "IconHandler", y en el panel de la derecha, busque
y borre la siguiente cadena:

{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}

Parches:

Los parches pueden descargarse de los siguientes enlaces:

Actualización de seguridad para Windows 2000 (KB841873)
http://www.microsoft.com/downloads/details.aspx?FamilyId=
BBF3C8A1-7D72-4CE9-A586-7C837B499C08&displaylang=es

Actualización de seguridad para Windows XP (KB841873)
http://www.microsoft.com/downloads/details.aspx?FamilyId=
8E8D0A2D-D3B9-4DE8-8B6F-FC27715BC0CF&displaylang=es

Nota:

Antes de instalar estos parches verifique que el software que se
menciona tenga instalado los Service Pack a los que se hace
referencia. En caso contrario la aplicación puede fallar o ejecutarse
de manera incorrecta.

Más información:

Microsoft Security Bulletin MS04-022
www.microsoft.com/technet/security/bulletin/ms04-022.mspx

Microsoft Knowledge Base Article - 841873
http://support.microsoft.com/?kbid=841873
 

Archived message: [Vulnerable] Microsoft --> Programador de tareas vulnerable (Microsoft Windows XP)
 
Note: To make this discussion more readable on the page the original messages have been edited to remove most of the references and quoting.