Un control ActiveX deja vulnerable a Outlook
[17-07-01]
El control Microsoft Outlook View es un control ActiveX que permite la visualización de las carpetas de correo Outlook como páginas web. El control sólo debe permitir operaciones pasivas como la visualización del correo o los datos del calendario. Pero en realidad existe una función en este control que permite a la página web manipular los datos Outlook. Esto permitirá a un atacante borrar correo, cambiar la información del calendario, o llevar a cabo cualquier otra acción a través de Outlook incluyendo la ejecución de código arbitrario en la máquina del usuario.
Los sitios web maliciosos exponen el mayor riesgo respecto a esta vulnerabilidad. Si un usuario visita una página web controlada por un atacante un script en la página podrá llamar al control cuando la página se abra, en ese momento el script empleará el control para llevar a cabo cualquier acción deseada sobre los datos Outlook del usuario.
El atacante puede intentar reproducir el efecto desde un e-mail html enviado al usuario. En este e-mail se efectua la llamada al control de igual forma que a través de una página web, sin embargo, si se encuantra instalado el Outlook E-mail Security Update se detendrá esta forma de ataque. Ya que esta actualización hace que los e-mails html se abran en la zona de sitios restringidos (Restricted Sites Zone), donde los controles ActiveX se inhabilitan por defecto.
Microsoft está desarrollando un parche para paliar los efectos de esta vulnerabilidad. Mientras que el parche está en desarrollo se recomienda inhabilitar los controles ActiveX controls en la Zona Internet para protegerse contra el ataque descrito anteriormente. Mediante políticas de grupo (Group Policy) se puede hacer que este cambio de configuración se realice en toda la red automáticamente.
Se recomienda la instalación de Outlook E-mail Security Update en caso de que no se haya instalado previamente.
Opina sobre esta noticia: http://www.hispasec.com/unaaldiacom.asp?id=995
Más información:
Boletín de seguridad Microsoft (MS01-038): http://www.microsoft.com/technet/security/bulletin/MS01-038.asp
Aviso de Guninski: http://www.guninski.com/vv2xp.html
Antonio Ropero antonior@hispasec.com
Artículos de actualidad ...
Archivo de artículos ...
|