Un buffer en el HCP podría causar graves problemas en nuestro sistema

por Carlos 12/05/2004 ...

Sasser apareció hace relativamente poco aprovechando una vulnerabilidad de Windows, debemos ser conscientes de que su difusión ha sido posible por nuestra irresponsabilidad al no actualizar el sistema operativo con los parches disponibles tiempo atrás. Este es el motivo que nos ha llevado a escribir un artículo sobre una de las nuevas vulnerabilidades de este sistema.

Como es obvio, y teniendo en cuenta que al día se publican una media de 7 nuevas vulnerabilidades en relación a los sistemas operativos de Microsoft, no podemos comentar cada una de éstas, pero en el caso de la que nos ocupa, lo haremos pues ha sido descrita como crítica.

Esta es muy similar a la del Sasser, pues aprovecha un buffer no comprobado, en concreto, uno del controlador de direcciones URL HCP. Para aquellos que desconozcan este tipo de direcciones, hemos de decir que es un tipo especial dedicada a ofrecer servicios que necesitan algunos privilegios de cara al sistema. Una dirección HCP sería, del tipo hcp://, en lugar del http:// conocido por todos.

Como decíamos se trata de un buffer no comprobado del HCP, lo que permitiría al atacante realizar cualquier cambio que se propusiese en nuestro sistema, siempre y cuando el usuario que esté siendo usado en ese momento pueda hacerlo.

Este tipo de servicio no está únicamente disponible para Windows XP y 2003, también para los demás, pero estos ya fueron corregidos y no necesitan actualización alguna. En este aspecto hemos de destacar que fue el 12 de febrero del año pasado cuando se descubrío este fallo en el sistema Windows Me, entonces se describió de crítico y se insto a su reparación.

Algunas diferencias con el Sasser hacen disminuir considerablemente su peligrosidad, por ejemplo, en el caso anterior no teníamos que hacer absolutamente nada para resultar infectados, en este caso hemos de entrar en una dirección del tipo hcp://. Una vez ocurra esto no habremos resultado infectados, solamente dicha página tendrá acceso a nuestro buffer. Esto como decíamos puede usarse para muchas cosas, una de ellas podría ser la descarga de un troyano, gusano, virus y similares, la eliminación de cualquier archivo, el reinicio del sistema e infidad de acciones más.

Por lo tanto, consideramos que es bueno recordar que es prioritario inmunizar nuestro sistema ante este fallo, sobretodo teniendo en cuenta lo ocurrido con el Sasser recientemente.

Existen dos formas de hacerlo, la primera sería deshabilitarlo en nuestro sistema, con lo que no tendríamos problemas en ese respecto pero tampoco posibilidad alguna de entrar en las páginas HCP.

Para llevar a cabo este paso tan solo es necesario eliminar un registro de nuestro sistema. Para ello nos dirigimos al menú Inicio, Ejecutar, Regedit. Una vez dentro del editor de registro abrimos la carpeta HKEY_CLASSES_ROOT, en ella hemos de buscar una carpeta con el nombre HCP.

Llegados a este punto tenemos dos opciones igual de válidas, la primera consistiría en eliminar las cuatro entradas que encontraremos dentro de la carpeta HCP. La segunda eliminar la carpeta en si misma con lo que obviamente eliminamos también las cuatro entradas.

Esto como decimos conllevará la imposibilidad de entrar en páginas HCP, pero teniendo en cuenta lo poco que son usadas, para un usuario normal no debe resultar ningún problema.

En el caso de necesitar hacer uso de estas páginas o simplemente preferir hacerlo más cómodamente, podemos recurrir al parche de Microsoft.

Éste está disponible para cada una de las versiones afectadas, es decir, Windows XP, XP 64-bits, XP 64-bits versión 2003, Windows Server 2003 y Server 2003 64-bits. Los links hacia los parches se encuentra en el final del artículo.

Cuando vayamos a instalar el parche hemos de tener en cuenta que, si no llevamos a cabo la instalación desde una linea de comandos y añadiendo el parámetro /norestart, será obligatorio el reinicio del sistema, por lo que es recomendable cerrar todo y prepararnos ello.

Una vez ejecutado el parche se nos pedirá que aceptemos la licencia, tras lo que se instalará y reiniciará previa confirmación. Cuando estemos nuevamente en nuestro sistema, parcheado ya, podemos asegurar la correcta actualización.

Para ésto tenemos que volver al editor de registro, menú Inicio, Ejecutar, Regedit. Nos dirigimos, el caso de las versiones previas a las 2003, a la carpeta HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB840374\Filelist y comprobamos la presencia de una nueva entrada. En el caso del XP 64-bits edición 2003 y del Server 2003 la entrada ha de encontrarse en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB840374\Filelist.

Antes de decidirnos por la sencillez del parche, hemos de tener en cuenta que efectuará dos cambios adicionales en nuestro sistema, por un lado la opción de actualizar nuestro decodificador de DVDs propia de Windows estará deshabilitada para impedir su uso malicioso, por otro, se impedirá al Centro de ayuda enviar los datos referentes a nuestro hardware por Internet.

Si por cualquier motivo, y una vez esté instalado el parche, queremos desinstalarlo, podremos hacerlo desde el Panel de Control, en Agregar o quitar programas, o desde el propio desinstalador del parche, que se encuentra en la carpeta de Windows, dentro de otra carpeta con el nombre $NTUninstallKB840374$. Una vez estémos en su interior podremos localizar el desinstalador, que se llama Spuninst.exe.

Por lo tanto, como se habrá comprendido, es una actualización muy recomendable que aunque, actualmente, no tiene ningún exploit, puede causar muchos problemas. Para ello, y que estemos prevenidos contra ésto, se recomienda realizar una de las dos posibles soluciones que se detallan en la noticia.

Parches necesarios a instalar:

-Windows XP: Clíc aquí.

-Windows XP 64-bits: Clíc aquí.

-Windows XP 64-bits edición 2003: Clíc aquí.

-Windows 2003: Clíc aquí.

-Windows 2003 64-bits: Clíc aquí.


Tags: Redes