| Autore |
 Discussione  |
|
|
S3ntry
Average Member
84 Messaggi |
Inserito il - 12/09/2003 : 23:16:04
|
File MSTAH.EXE in WINDOWS\SYSTEM ( S.O. W98 )
E' stringato in diverse
chiavi di HKEY_CLASSES_ROOT,
anche in
"htafile\Shell\Open\Command
Funzione ed esecuzione mi sembrano chiari,
ma credo di aver letto da qualche parte
(ma non mi ricordo dove)
che questo file permette in pieno
lo sfruttamento di 2 bug del browser
e anche mail-clients: Outlook
(fino alla 6) e anche qualche
versione datata di Eudora ( anche in sistemi NT4
e W2000 )
Se non ricordo male dovrebbe consentire
l'esecuzione arbitraria di eseguibili
attraverso *.htm
e compromettere e modificare, a seconda
di come è scritto il file,
addirittura il protocollo MIME.
Conferme o smentite sono ben accette
|
|
|
Gimli
Moderatore
.jpg)
Città: Belluno
1870 Messaggi |
Inserito il - 13/09/2003 : 17:53:53
|
Controllo dopo offline nei messaggi di bugtraq e vi aggiorno, mi ricordo di aver letto qualcosa in proposito.
Ciao
Gimli |
 |
|
|
Gimli
Moderatore
Città: Belluno
1870 Messaggi |
Inserito il - 16/09/2003 : 15:00:53
|
Ho controllato nei vecchi messaggi di bugtraq.
Effettivamente questo Microsoft HTML Application Host (il nome giusto è mshta.exe, come mi hai correttamente scritto in pvt) permette l'esecuzione di codice arbitrario in sede di interpretazione delle pagine/mail HTML.
Sempre su bugtraq suggerivano di bloccarne le attività tramite firewall, ma non ho provato ancora (devo decidermi a costruirmi la LAN a casa...).
Altri post che non sono riuscito a rintracciare suggerivano di modificare la chiave del registro relativa alla gestione dei MIME type che si riferisce a questo file in modo da farla puntare ad un file inesistente. Cancellare il file penso sia la stessa cosa, se l'hai testato e funziona...
E' un fix quick&dirty, ma finché MS non rilascia una patch seria (non ho controllato, confesso) mi sa che è l'unico modo per difendersi.
L'avisory MS di riferimento è il Microsoft Security Bulletin MS03-032, non ho il link sottomano, ma basta cercare sul sito della MS.
Ciao
Gimli |
|
|
|
S3ntry
Average Member
84 Messaggi |
Inserito il - 22/09/2003 : 00:01:02
|
Per ridurre questo rischio dovrei
settare il firewall a valori estremi:
cioè bloccare al completo tutti gli
activeX, Vb e Java Scripts e Java Applets.
Ma ciò farebbe oscurare molti siti.
Penso non si risolverebbe comunque il problema.
Secondo me l'unica via
sarebbe un client e browser
"al passo coi tempi", visto che ANCHE i file
*.chm possono essere usati per
permettere il download silenzioso di
eseguibili in "Temporary",
per poi essere mandati in esecuzione
via *.html file.
Per il momento ho risolto, portando
la sua chiave di "command"
a valore di default: "%1" %*
e ho rimosso il file.
Sembra piuttosto indolore, ma dovrò
ancora verificare...
GRAZIE
XIAO!
|
|
|
|
bondurant
Advanced Member
386 Messaggi |
Inserito il - 29/09/2003 : 15:49:37
|
Ciao S3ntry,correi chiederti qualche delucidazione in merito a questa operazione di cambiare le chiavi di comando etc..
renderebbe IE meno attaccabile? aiuterebbe la protezione? Ma, SPECIALMENTE, e ancora indolore o ti e' esploso qualcosa?
Poi, un po OT, ma che tu sappia quando disattivo il download automatico dei mex dalla pag dei preview sono a posto o i file infetti possono filtrare lo stesso?
Scusa se approfitto un po...
Grazie
Bonds
PS: sei s8ntry di html.it?
Edited by - bondurant on 29/09/2003 16:23:56 |
|
|
|
S3ntry
Average Member
84 Messaggi |
Inserito il - 30/09/2003 : 10:20:14
|
HoLa Bondurant !
Da quanto ne ho capito finora le funzioni o meglio le "disfunzioni" di
MSHTA non renderebbero attaccabile il
sistema... "dall'esterno".
Senz'altro si deve comunque capitare su pagine web
che contengano particolari scripts html, ma questi
si limitano ad ordinare il download e l'esecuzione
di programmi in temporary...non c'è attacco o
forzatura dall'esterno.
Lo sfruttamento di questo programma compromette la
sicurezza "dall'interno" del sistema, cioè attraverso
il sistema stesso.
Di conseguenza non vedrei altre soluzioni all'infuori di impedirne l'esecuzione e l'autostart.
Ho verificato che non ci sono restrizioni che tengano
e non è sempre efficace la disabilitazione dei controlli ActiveX e dei plug-ins;
quindi sono
inattivi tutti gli IFRAMEs.
Le informazioni Microsoft sono comprensibili,
ma quasi esclusivamente da tecnici e utenti esperti,
anche perchè l'argomento non è facile.
Inoltre non esiste una pubblicità adeguata a questo bug che riguarda anche la 6.0 di IE.
Non so di preciso cosa vada a correggere la patch
rilasciata da MS, ma so di certo che questo file resta operativo.
Ho visto sabato che in rete è possibile trovare soluzioni differenti
da quella della MS e si può provare anche qualche tool specifico.
Esiste un tool di tipo cleaner ( fa in automatico
quello che ho eseguito manualmente )
e un altro che invece è dotato di opzioni di blocco
e riattivazione dell' HTA.
XiaO
|
|
|
|
bondurant
Advanced Member
386 Messaggi |
Inserito il - 30/09/2003 : 11:19:12
|
ciao s3n,
grazie della risposta..
quanto a questi tool cleaner, ne consigli l'uso anche a un non esperto?
se si, mi daresti il nome o la url di riferimento? graziemille!
..e poi please levami quell'altro dubbio: dici che IE6 con tanto di patch non garantisce molto..ma come devo settare le opzioni di posta per far si che il virus non si espanda pur non aprendo l'allegato? va bene se metto "non eseguire il download automatico del messaggio.." ?
Ciao!
|
|
|
|
S3ntry
Average Member
84 Messaggi |
Inserito il - 03/10/2003 : 01:40:28
|
Sembrerebbe che la patch MS non serva molto:
le restrizioni e i settaggi manuali potrebbero essere bypassati comunque.
Info e TOOL di blocco funzioni HTA
anche su:
htt*://[www].nsclean[.com]/htastop.html
htt*://[www].thebyteshow[.com]/Downloads.html
In rete esistono anche tool specifici
per il cleaning definitivo ( che è
forse meglio ! )
XIAO
|
|
|
| |
Discussione |
|
file Mstah.exe
Forum Bloccato
