Se ha hecho pública una nueva vulnerabilidad en el control ActiveX de Vídeo de Windowsque se está utilizando para instalar malware mediante el navegadorInternet Explorer. Al ser un 0 day , Microsoft no ha tenido tiempo dedesarrollar una actualización para todos los sistemas aunque sí que hadefinido unas salvaguardas.

Esta vez el problema viene de unviejo control de ActiveX que aun es accesible por Internet Explorer.Curiosamente parece que Microsoft no tenía conocimiento de suexistencia "no hay uso por diseño de este Control ActiveX en InternetExplorer que incluya todos los Identificadores de Clase dentro demsvidctl.dll el cual aloja este Control". 

Esta vulnerabilidadpermitiría a un atacante conseguir los mismos privilegios que elusuario local. Si el usuario con el que navegamos no es administrador,el riesgo será mucho menor.

El ISC del Instituto SANS harecopilado una lista de dominios que utilizan esta vulnerabilidad y lasreglas para detectar su uso mediante IDS/IPS.

Vulnerabilidad 0 day en la librería msvidctl.dll de Microsoft Windows 07-07-2009

Identificada una vulnerabilidad 0 day en la librería msvidctl.dll de Microsoft Windows.

Sistema operativo:
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Storage Server 2003
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional

Riesgo:   Alto

Descripción:
Lavulnerabilidad 0 day detectada en el control ActiveX de Vídeo deWindows, está siendo aprovechada activamente en Internet. Existe unexploit público y parece que muchas páginas legítimas comprometidasestán sirviendo para infectar los sistemas.

La vulnerabilidadestá provocada por un error de desbordamiento de búfer basado en pilaen la función 'MPEG2TuneRequest' de la librería msvidctl.dll. Unatacante remoto podría aprovechar este fallo para ejecutar códigoarbitrario con permisos del usuario del navegador.

SegúnVirusTotal, de momento pocos antivirus detectan el JavaScript queexplota el fallo. Únicamente McAfee, AntiVir, VirusBuster y Microsoftlo reconocen. El ratio de detección mejora para el ejecutable quedescarga.

Microsoft acumula dos 0 day sin solución por ahora.A finales de mayo Microsoft reconocía un problema de ejecución decódigo explotable a través de archivos de QuickTime, que no fuesolucionado en las actualizaciones de junio. La diferencia con estenuevo 0 day en msvidct.dll es que en este caso, existe informaciónpública sobre cómo aprovecharlo.

Solución:
Hastaque Microsoft proporcione un parche para solucionar el problema, serecomienda aplicar las siguientes medidas para mitigar el riesgo de lavulnerabilidad:

* Desactivar ActiveX. Para ello debe activar elkill bit del control ActiveX, guardando el archivo con extensión .reg yejecutándolo como administrador:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\
{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}] "Compatibility Flags"=dword:00000400

* Utilizar el asistente Fix It relacionado con esta vulnerabilidad en el sitio web de Ayuda y Soporte de Microsoft.

*Se recomienda a los usuarios de Internet Explorer, que utilicenInternet Explorer 7 o posterior, que puede ayudar a mitigar lavulnerabilidad utilizando la opción ActiveX opt-in.
   
Microsoft proporciona soluciones adicionales en la sección Workarounds del aviso de seguridad de Microsoft.

Mas información:
http://www.microsoft.com/technet/security/advisory/972890.mspx
http://blog.duba.net/read.php/225.htm
http://blog.duba.net/read.php/226.htm
http://www.kb.cert.org/vuls/id/180513
http://www.hispasec.com/unaaldia/3907/

Fuente:  Microsoft www.microsoft.com

Qué raro, una vulnerabilidad en Windows!!
xD