(Por El Microsaurio) El tema comenzó a rodar con un mail del 26 de febrero enviado a varias listas de seguridad por Mauricio Prodeus, analista de seguridad de la empresa polaca iSEC. Para ponerlo en fácil, este investigador descubrió que se podía insertar malware en un archivo “.hlp” (los viejos “help” de Windows), luego poner ese archivo en una página web, y luego esperar a que un incauto visitara la página (eso se hace metiendo un link en un email que tenga, por ejemplo, fotos chanchas). Al ingresar el incauto a la página web, un pop up le diría “Apriete F1”, y ¡zácate! se ejecuta el archivo *.hlp y la PC queda invadida.
Corto, prolijo, simple.
Esos archivos de ayuda aparecieron en Windows 3.x, y se los abre con winhelp.exe or winhlp32.exe. Sí, el “32” te sorprenderá, pero aunque son ejecutables que pueden ser vehículos de malware y eso se sabe desde hace años, siguieron existiendo en el mundo de 32 bits. Es más, en una máquina que corra Windows XP “convencional” hay unos 300 archivos de ayuda “*.hlp*, puestos por la instalación del sistema o que vienen en programas perfectamente legítimos.
El Microsoft Security Response Center, visiblemente molesto porque el especialista polaco no les avisó en privado, sino que posteó el tema de una, contraatacó publicando la Security Advisory 981169, y adelantó que “tal vez” se sacaría un parche fuera de fecha. Como ahora falta una semana para el Martes de Parches de este mes, tal vez banquen estos días.
Minucia técnica resumida:
- Están afectados los usuarios de Internet Explorer 6-7-8 que empleen Windows 2000, XP, y Server 2003
- Zafaron los usuarios de Vista, Siete, Server 2008
- Microsoft recomienda a los usuarios de los sistemas afectados leer la nota de seguridad esa que cité arriba. Allí hay una serie de consejos, como deshabilitar Active Scripting y los controles ActiveX al navegar o leer email html. (¿Dónde cuernos habré leído eso mil veces?)
- Un consejo técnico complicado, es deshabilitar “winhlp32.exe” mediante una serie de órdenes ingresadas, como Administrador, vía la Línea de Comandos. Ojo con esa, no es para tímidos o vacilantes.
Un consejo de fierro, cortesía de esa misma Advisory: “Do not press the F1 key when prompted by a Web site” (¿Hace falta que traduzca?) Que les sea leve.
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291
[…] la 981169 que la muchachada de Redmond posteó el día 1° de marzo, y vos pudiste leer comentada a la mañana siguiente. En lo que parece que arrugaron fue en solucionarlo el martes próximo. Veremos si les llega algún […]