Inicio / Blog / Microsoft pone coto a los ActiveX

Microsoft pone coto a los ActiveX

Publicado el 11/09/2014, por David Cantón (INCIBE)
Microsoft_ActiveX

Con la última actualización, que mensualmente Microsoft publica cada segundo martes de mes, la compañía de Redmond añade una nueva característica para mejorar la seguridad de sus usuarios: Internet Explorer bloqueará los controles ActiveX que no estén actualizados. Inicialmente este bloqueo solo afectará a los ActiveX de Java, aunque probablemente se irá ampliando posteriormente. Esta actualización de seguridad, que inicialmente estuvo prevista para agosto, se retrasó al mes de septiembre para que los usuarios y empresas pudiesen comprobar sus entornos y adaptarse a esta nueva característica de seguridad.

¿Por qué es importante y necesaria esta actualización?

Recordemos que los controles ActiveX son pequeñas aplicaciones creadas para que funcionen a través de Internet empleando navegadores web, principalmente Internet Explorer. Estas aplicaciones, que son más o menos equivalentes a los applets de Java, pueden ser de cualquier índole: juegos, videos, formularios, barras de herramientas,… El problema está en que muchos controles ActiveX no se actualizan automáticamente para corregir los posibles problemas de seguridad, lo que deja un vector de ataque muy importante a los creadores de malware para infectar a los usuarios a través de Internet. Simplemente con visitar un sitio malicioso o comprometido, el malware podría hacer uso del ActiveX vulnerable y acceder a información privada, instalar software malicioso o incluso un programa de control de remoto del sistema.

El hecho de que inicialmente este bloqueo afecte a los ActiveX de Java tiene que ver con que de acuerdo con el último Microsoft Security Intelligence Report, los Exploits de Java representaron entre el 84,6% y el 98,5% de las detecciones de malware relacionadas con Exploit-Kit durante todo el año 2013. Gran parte de estas vulnerabilidades seguramente están solucionadas en las nuevas versiones de Java, sin embargo al no actualizarse los controles ActiveX los sistemas siguen siendo vulnerables. Este hecho ha llegado a a provocar que en muchos sitios se recomendase la desinstalación de Java.

 Detecciones de malware relacionados Exploit-Kit por producto o componente objetivo

- Detecciones de malware relacionados Exploit-Kit por producto o componente objetivo (Fuente: Microsoft) -

¿A qué entornos afecta?

El bloqueo de ActiveX no actualizados estará activo en los siguientes entornos:

  • Internet Explorer versiones de la 8 a la 11 en Windows 7 SP1 y versiones posteriores.
  • Internet Explorer versiones de la 8 a la 11 en Windows Server 2008 R2 SP1 y versiones posteriores.
  • En todas las zonas de seguridad excepto Zona de Intranet local y Zona de Sitios de confianza.

Las advertencias que mostrará Internet Explorer cuando se quiera ejecutar una ActiveX desactualizado tendrán el siguiente aspecto:

Prompt telling user that the page has loaded an out of date ActiveX control in Internet Explorer 9-11.

- Internet Explorer 9 hasta Internet Explorer 11 (Fuente: MSDN) -

Prompt telling user that the page has loaded an out of date ActiveX control in Internet Explorer 8.

- Internet Explorer 8 (Fuente: MSDN) -

Como se puede ver en las imágenes anteriores, Internet Explorer advertirá al usuario de que el componente ActiveX que quiere utilizar la página web no está actualizado y le dará la opción de actualizar el componente desde la página oficial, o continuar la ejecución del mismo. En entornos administrados, los administradores podrán cambiar la configuración y bloquear directamente, no permitiendo su ejecución.

Para configurar esta nueva característica, los administradores de sistemas dispondrán de una nueva Política de Grupo con las siguientes opciones:

  • Turn on ActiveX control logging in Internet Explorer": Los administradores podrán una lista y ver que los controles ActiveX son compatibles.
  • Remove Run this time button for outdated ActiveX controls in Internet Explorer": anula la posibilidad de que los usuarios puedan ejecutar un ActiveX desactualizado.
  • Turn off blocking of outdated ActiveX controls for Internet Explorer on specific domains": deshabilita esta opción en dominios específicos.
  • Turn off blocking of outdated ActiveX controls for Internet Explorer": desactiva completamente la comprobación de los ActiveX, aunque Microsoft desaconseja utilizar esta opción.

¿Como decide Internet Explorer que ActiveX bloquear?

Para determinar cuáles son los controles ActiveX que deben ser evitados antes de su carga, Internet Explorer descargara periódicamente el archivo versionlist.xml alojado en Microsoft, en el cual se determinar los ficheros y las respectivas versiones que deben de ser bloqueadas. Como se comentó anteriormente, a partir de las actualizaciones de septiembre, esta nueva función de seguridad mostrará a los usuarios notificaciones cuando las páginas Web que visitan intenten cargar controles ActiveX de Java que utilicen versiones obsoletas, las versiones bloqueadas de Java son:

  • J2SE 1.4, versiones anteriores a la 43
  • J2SE 5.0, versiones anteriores a la 71
  • Java SE 6, versiones anteriores a la 81
  • Java SE 7, versiones anteriores a la 65
  • Java SE 8, versiones anteriores a la 11

Out-of-date ActiveX control blocking also gives you a security warning that tells you if a webpage tries to launch specific outdated apps, outside of Internet Explorer.

- Aviso si una página Web intenta lanzar una aplicación obsoleta fuera de Internet Explorer (Fuente: MSDN) -