El equipo de respuesta a incidentes de seguridad informática del US-CERT estadounidense emitía el pasado día 2 la alerta TA04-184A donde informa de la disponibilidad de un update de seguridad para Internet Explorer (IE) de Microsoft que desactiva el control ActiveX conocido como ADODB.Stream y que reduce el impacto de ataques contra vulnerabilidades cross-domain presentes en IE.

Un tipo de vulnerabilidades en IE permitiría que código malicioso alojado en un determinado dominio sea ejecutado sobre otro distinto que podría incluso estar en una zona de seguridad IE diferente. Los atacantes normalmente intentan ejecutar código en el contexto de seguridad de la Zona de la Máquina Local (otras vulnerabilidades cross-domain tienen impactos similares). Después de obtener acceso a esta zona a través de una o más de las vulnerabilidades antes mencionadas, los atacantes generalmente intentan descargar y ejecutar un archivo ejecutable, lo que llevan a cabo empleando el control ActiveX ADODB.Stream. Para defenderse de esta técnica, Microsoft ha desarrollado un update que desactiva este control. 

Convenciendo a una víctima de visualizar un documento HTML, ya sea página web, e-mail, un atacante podría ejecutar el código en un diferente dominio de seguridad que el contenido en el documento del atacante. Haciendo que el script se ejecute en la Zona de la Máquina Local, el asaltante podría ejecutar código arbitrario con los privilegios del usuario que ejecuta IE.

El peligro de esta vulnerabilidad se pone de manifiesto ante la reciente aparición in the wild del troyano Download.Ject (Scob o Toofer) que emplea vulnerabilidades cross-domain y el ActiveX ADOBD.Stream para instalar software que roba información financiera sensible del equipo de la víctima.

Hasta que Microsoft ponga a disposición de los usuarios una solución definitiva es recomendable que lleve a cabo las siguientes recomendaciones:

- Deshabilite los Controles Active Scripting y ActiveX en la Zona de Internet (o cualquier zona utilizada por un intruso) ya que parece prevenir la explotación de esta vulnerabilidad. Al hacerlo en la Zona de Equipo Local prevendrá el uso de las técnicas utilizadas por los intrusos.

- No acceda a enlaces no solicitados recibidos vía e-mail, mensajería instantánea, forums o canales IRC.  Esta recomendación es una buena práctica de seguridad, si bien no asegura la explotación del bug en algunos casos.

- Deshabilite el control ActiveX ADODB.Stream bien aplicando el update desde la página de Windows Update de Microsoft, bien modificando el registro de Windows. Esta acción sólo impedirá la escritura de código arbitrario en el disco mediante la técnica conocida tras la explotación de la vulnerabilidad cross-domain. Es importante notar que existen  pueden existir otras formas de escribir o ejecutar comandos arbitrarios sin emplear este ActiveX.

- Mantenga actualizado su software anti-virus, el programa podría identificar y prevenir algunos intentos de explotación aunque algunas variaciones de exploits o ataques podrían no ser detectadas. No es una buena práctica de seguridad confiar solamente en el software anti-virus como defensa para esta vulnerabilidad.