[Info] Posibles solucion temporal a xploit de xp

Con el ZA y el NAV instalados en el sistema he pasado las pruebas con
éxito. ZA me advierte de la actuación de mshta.exe, a la cual deniego la
salida, pero aún en una segunda prueba permitiendo la salida de mshta.exe a
través de ZA, el script blocking de NAV me da un pantallazo de aviso y me
permite prohibir la ejecución del script.

Con esto y hasta que Microsoft saque el parche correspondiente creo que
no hay peligro, pero claro, al igual que tú solo he probado los test de
Hispasec y no sé cómo funcionaría con un auténtico script malicioso.

Un saludo.


"Jose Antonio Rodriguez Fdez." escribió en
el mensaje news:
> Hola,
>
> He estado haciendo pruebas, para poder paliar el problema del xploit
> del IE hasta que salga el parche, y os comento mis impresiones, a ver
> si funcionan y podemos mejorarlas.
>
> En principio, las pruebas las he hecho con las muestras del xploit de
> hispasec, tanto de descarga de fichero no autorizada, como una
> apertura de una consola cmd.
> http://www.hispasec.com/directorio/...odrev.html
> http://www.hispasec.com/directorio/...drev3.html
>
> Si se usa un fw personal, para usuarios domésticos, se puede hacer que
> el xploit no se ejecute, en principio, sería agregando una regla
> negando la ejecución del mshta.exe, para tráfico saliente tcp con
> puerto remoto http.
>
> De esta forma, he conseguido que las pruebas de hispasec, no se lleven
> a cabo y queden bloqueadas, es de esperar que con xploits verdaderos
> funcione igual
>
> He realizado la prueba con proxomitron, y en principio, no funciona,
> con las emulaciones de hispasec, quizás sea por las reglas del fw
> personal, aunque me da que no (a ver si saco tiempo para seguir
> investigando).
>
> Esto en principio, solo funciona, para el host que tenga el fw
> personal (normalmente usuarios domésticos), en el caso de redes,
> habría que ir la siguiente solución.
>
> He realizado pruebas, optimizando la configuración de los antivirus,
> la prueba la he realizado, con mcafee v7, con inferiores no
> funcionaría.
>
> El tema está en configurar, el módulo hawk script stopper, entonces
> analizará el tráfico, en http, y detecta, el intento de inclusión de
> un script embebido, no autorizado deteniendolo.
>
> Esto es útil, para redes corporativas, hasta que aparezca la solución
> de ms.
>
> No he realizado la prueba con otros antivirus, aunque he oído en el
> grupo, que panda, tambien lo puede detectar.
>
> Personalmente, si logramos afinar la configuración del proxomitron,
> para redes corporativas, podría llegar a servir, tambien afinando la
> configuración de fw de aplicación se podría paliar.
>
> A ver que opinais, y sspero os sea útil.
> Jose Antonio Rodriguez Fdez.
>
>
>
> Quitar no_masillas_
> Y cambiar punto org por punto net
>
> · Nunca TANTOS debieron TANTO a tan pocos -
> Todos los que día a día construimos esta fuente de conocimiento.

Hola,

He estado haciendo pruebas, para poder paliar el problema del xploit
del IE hasta que salga el parche, y os comento mis impresiones, a ver
si funcionan y podemos mejorarlas.

En principio, las pruebas las he hecho con las muestras del xploit de
hispasec, tanto de descarga de fichero no autorizada, como una
apertura de una consola cmd.
http://www.hispasec.com/directorio/...odrev.html
http://www.hispasec.com/directorio/...drev3.html

Si se usa un fw personal, para usuarios domésticos, se puede hacer que
el xploit no se ejecute, en principio, sería agregando una regla
negando la ejecución del mshta.exe, para tráfico saliente tcp con
puerto remoto http.

De esta forma, he conseguido que las pruebas de hispasec, no se lleven
a cabo y queden bloqueadas, es de esperar que con xploits verdaderos
funcione igual

He realizado la prueba con proxomitron, y en principio, no funciona,
con las emulaciones de hispasec, quizás sea por las reglas del fw
personal, aunque me da que no (a ver si saco tiempo para seguir
investigando).

Esto en principio, solo funciona, para el host que tenga el fw
personal (normalmente usuarios domésticos), en el caso de redes,
habría que ir la siguiente solución.

He realizado pruebas, optimizando la configuración de los antivirus,
la prueba la he realizado, con mcafee v7, con inferiores no
funcionaría.

El tema está en configurar, el módulo hawk script stopper, entonces
analizará el tráfico, en http, y detecta, el intento de inclusión de
un script embebido, no autorizado deteniendolo.

Esto es útil, para redes corporativas, hasta que aparezca la solución
de ms.

No he realizado la prueba con otros antivirus, aunque he oído en el
grupo, que panda, tambien lo puede detectar.

Personalmente, si logramos afinar la configuración del proxomitron,
para redes corporativas, podría llegar a servir, tambien afinando la
configuración de fw de aplicación se podría paliar.

A ver que opinais, y sspero os sea útil.
Jose Antonio Rodriguez Fdez.



Quitar no_masillas_
Y cambiar punto org por punto net

· Nunca TANTOS debieron TANTO a tan pocos -
Todos los que día a día construimos esta fuente de conocimiento.

Tanto el firewall del Panda Platinum 7 como el Zone Alarm avisan del intento
de conexión de la aplicación MSHTA.EXE versión 6.00.2800.1106 a la IP
destino 127.0.0.1 por el puerto 1165.

Fdo.
Frost


"Jose Antonio Rodriguez Fdez." escribió en
el mensaje news:
> Hola,
>
> He estado haciendo pruebas, para poder paliar el problema del xploit
> del IE hasta que salga el parche, y os comento mis impresiones, a ver
> si funcionan y podemos mejorarlas.
>
> En principio, las pruebas las he hecho con las muestras del xploit de
> hispasec, tanto de descarga de fichero no autorizada, como una
> apertura de una consola cmd.
> http://www.hispasec.com/directorio/...odrev.html
> http://www.hispasec.com/directorio/...drev3.html
>
> Si se usa un fw personal, para usuarios domésticos, se puede hacer que
> el xploit no se ejecute, en principio, sería agregando una regla
> negando la ejecución del mshta.exe, para tráfico saliente tcp con
> puerto remoto http.
>
> De esta forma, he conseguido que las pruebas de hispasec, no se lleven
> a cabo y queden bloqueadas, es de esperar que con xploits verdaderos
> funcione igual
>
> He realizado la prueba con proxomitron, y en principio, no funciona,
> con las emulaciones de hispasec, quizás sea por las reglas del fw
> personal, aunque me da que no (a ver si saco tiempo para seguir
> investigando).
>
> Esto en principio, solo funciona, para el host que tenga el fw
> personal (normalmente usuarios domésticos), en el caso de redes,
> habría que ir la siguiente solución.
>
> He realizado pruebas, optimizando la configuración de los antivirus,
> la prueba la he realizado, con mcafee v7, con inferiores no
> funcionaría.
>
> El tema está en configurar, el módulo hawk script stopper, entonces
> analizará el tráfico, en http, y detecta, el intento de inclusión de
> un script embebido, no autorizado deteniendolo.
>
> Esto es útil, para redes corporativas, hasta que aparezca la solución
> de ms.
>
> No he realizado la prueba con otros antivirus, aunque he oído en el
> grupo, que panda, tambien lo puede detectar.
>
> Personalmente, si logramos afinar la configuración del proxomitron,
> para redes corporativas, podría llegar a servir, tambien afinando la
> configuración de fw de aplicación se podría paliar.
>
> A ver que opinais, y sspero os sea útil.
> Jose Antonio Rodriguez Fdez.
>
>
>
> Quitar no_masillas_
> Y cambiar punto org por punto net
>
> · Nunca TANTOS debieron TANTO a tan pocos -
> Todos los que día a día construimos esta fuente de conocimiento.