Alerta: Grave vulnerabilidad en el control WMI Object Broker de Microsoft Visual Studio 2005

Según informa SANS, hay una nueva amenaza para los usuarios de plataformas Microsoft que se está explotando muy activamente. Se trata de un exploit para Visual Studio 2005.

En Redmond saben que la cosa pinta muy mal, y han emitido un boletín al hilo de la vulnerabilidad. Para que los usuarios puedan aguantar el chaparrón, un consejo muy útil:

Customers are encouraged to keep their anti-virus software up to date.

Mi consejo es que no hagáis caso de este consejo. Ningún antivirus, repito, NINGÚN antivirus detecta el 100% de las muestras. A poco que haya variantes, os váis a quedar sin protección. En ausencia de parche oficial, que no verá la luz hasta el próximo ciclo, podéis capear el temporal incluyendo la siguiente clave en el registro (ya sabéis, ejecutando regedit):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{7F5B7F63-F06F-4331-8A26-339E03C0AE3D}] «Compatibility Flags»=dword:00000400

El problema está causado por un error sin especificar en el control ActivX WMI Object Broker ActiveX Control (WmiScriptUtils.dll) de la conocida suite de programación Microsoft Visual Studio 2005. La vulnerabilidad, que tiene factores mitigantes (Windows 2003 con Enhanced Security Mode no es vulnerable), es de carácter extremadamente crítico, ya puede ser explotada cómodamente caso de que un atacante consiga que un usuario visite, empleando por ejemplo Internet Explorer, un sitio especialmente preparado a tal efecto, para tomar control completo del sistema. Además, hay exploits conformados al efecto corriendo libremente por la Red, explotando el problema a diestro y siniestro. Precaución, amigo conductor.

Lo comentan también en el CERT y en Secunia. Más referencias en CVE.