Vulnerabilidad por inyección de argumentos en el manejador de URI de Lotus Notes
Juan Francisco Ruiz (La página de Hamfree) me ha enviado la siguiente noticia que creo que es importante que todos conozcamos ya que se trata de un nuevo problema de seguridad en Lotus Domino. A continuación os relato la traducción de esta noticia que muy amablemente ha realizado Juan Francisco: Lotus Notes "combina mensajería de clase corporativa, capacidades de calendario y planificación con una plataforma robusta para aplicaciones de trabajo en grupo".
La explotación remota de una vulnerabilidad en el filtrado de un parámetro en la aplicación IBM Lotus Notes permite a los atacantes remotos ejecutar código arbitrario.
Sistemas vulnerables:
- Versiones de Lotus Notes 6.0.3 y 6.4. Se sospecha que versiones anteriores sean vulnerables tambien.
Sistemas inmunes:
- Versiones de Lotus Notes 6.0.4 y 6.5.2.
Información CVE:
CAN-2004-0480
En la instalación de Lotus Notes la siguiente entrada de registro es añadida:
KEY_CLASSES_ROOT\Notes\Shell\Open\Command
La clave contiene el valor:
C:\Program Files\lotus\notes\notes.exe %1 . (*)
Esto causa que peticiones a la URI "notes:" sean abiertas por el binario de Lotus Notes,
notes.exe, con la URL pasada como argumento. La localización del fichero de configuración de Lotus Notes,
notes.ini, puede ser especificada en la línea de comandos "prefijándola" con el signo del igual "=". Este parámetro puede especificar una ruta de archivos en el el formato UNC de recurso compartido de red. El siguiente ejemplo es válido y especifica que el ejecutable
notes.exe cargue un fichero de configuración desde un sitio remoto:
notes.exe =\\10.0.0.1\notes\notes.ini
El fichero
notes.ini permite especificar el directorio de datos de Notes. El binario
notes.exe utiliza este directorio para cargar algunas librerías de enlace dinámico (DLL). Este parámetro tambien puede especificar una ruta de archivos en la forma de un recurso compartido de red (UNC). El siguiente ejemplo válido de un fichero de configuración
notes.ini especifica que el directorio de datos reside en un sitio remoto:
[Notes]
Directory=\\10.0.0.1\\notes
Debido al filtrado insuficiente de caracteres en el argumento pasado al binario
notes.exe desde la petición URI "notes:" un atacante pude forzar a un usuario a iniciar Lotus Notes con un fichero
notes.ini personalizado que está bajo el control de los atacantes y especificar un directorio de datos que tambien estará bajo el control de los atacantes. El intruso puede crear una DLL maliciosa conteniendo código arbitrario que será cargado y ejecutado cuando arranque
notes.exe.
La explotación satisfactoria permite a los atacantes remotos ejecutar código arbitrario con los privilegios del usuario que invocó el manejador URI "notes:" con una versión afectada de Lotus Notes. La URI maliciosa puede ser transmitida al objetivo vía correo electrónico o web y puede tambien ser embebida en una etiqueta IMG de HTML.
Solución temporal:
Borrar la clave del registro responsable de la creación del manejador URI "notes:" :
HKEY_CLASSES_ROOT\Notes\Shell\Open\Command
Informe de estado del Vendedor:
Esta vulnerabilidad en particular ha sido documentada como
SPR# KSPR5X6VEA, la cual está arreglada en las versiones 6.0.4 y 6.5.2.
El consejo del vendedor para esta vulnerabilidad se encuentra disponible en:
http://www-1.ibm.com/support/docview.wss?rs=475/context=SSKTWP&uid=swg21169510
Historial de la revelación:
21/04/2004 "Hazaña" (Exploit) hallada por iDEFENSE (**)
05/05/2004 iDEFENSE lo notificó a sus clientes
05/05/2004 Notificación inicial al vendedor
07/05/2004 Respuesta inicial del vendedor
23/06/2004 Revelación pública
Información adicional:
La información ha sido proporcionada por
iDEFENSE y
Jouko Pynn nen. El artículo original puede ser encontrado en:
http://www.idefense.com/application/poi/display?id=111&type=vulnerabilities
(*) : En las versión española de Windows, si el usuario no ha cambiado el directorio de instalación por defecto el valor será "C:\Archivos de programa\lotus\notes\notes.exe %1" )
(**) La traducción literal de "exploit" es hazaña, pero no es la palabra más adecuada. Una posible frase alternativa podría ser "puerta trasera" o similares.
