• Domingo 22 de Diciembre de 2024, 18:35

Autor Tema:  Re: Importante noticia de seguridad!  (Leído 927 veces)

Tenaza

  • Nuevo Miembro
  • *
  • Mensajes: 23
    • Ver Perfil
Re: Importante noticia de seguridad!
« en: Viernes 12 de Septiembre de 2003, 16:21 »
0
Hola amigos !!

Desde hace tiempo estoy registrado en el sitio español Hispasec que se dedica a divulgar noticias que tiene que ver sobre vulnerabilidades, fallos, etc sobre S.O., aplicaciones, virus nuevos.. etc etc.

Ayer recibí un email con el siguiente contenido que quiero compartir con todos uds.

Saludos.
Tenaza


-----------------------------------------------------------

 Alerta: Agujero crítico en Internet Explorer
 --------------------------------------------

 Con tan sólo visitar una página con Internet Explorer el usuario
 puede sufrir la infección de un virus, el formateo de todas sus
 unidades, o la instalación de un "dialer" que realice llamadas de
 tarificación especial. No existe de momento solución por parte de
 Microsoft. Compruebe con Hispasec si su sistema es vulnerable y
 descubra como evitar el problema.

 El último parche acumulativo de Microsoft para su navegador, del
 pasado mes de agosto, no soluciona por completo un agujero crítico
 que permite ejecutar código arbitrario en los sistemas con Internet
 Explorer. Las implicaciones en materia de seguridad son máximas,
 si tenemos en cuenta lo crítico de la vulnerabilidad y la sencillez
 con la que puede ser explotada.

 Tal y como ya avanzamos entonces en Hispasec, el problema reside
 en que es posible hacer creer a Internet Explorer que cualquier
 ejecutable es seguro y lanzarlo de forma automática sin pedir
 autorización alguna al usuario. La forma de explotación es sencilla,
 todo se debe a que Internet Explorer no chequea realmente la
 naturaleza del contenido que establece la localización del ActiveX
 a descargar en la etiqueta Object.

 El parche de Microsoft, publicado en agosto, corrige el problema
 cuando la explotación se lleva a cabo de forma directa mediante
 contenido estático, pero no ha tenido en cuenta que es posible
 explotarlo igualmente a través de scripts. En definitiva, ha dejado
 el agujero en su navegador, con el agravante de que ahora se conocen
 los detalles de como explotarlo.

 Hispasec proporciona algunas demostraciones reales de como la
 vulnerabilidad sigue existiendo, aun teniendo instaladas todas las
 actualizaciones disponibles hasta la fecha, y como puede ser
 explotada para ejecutar código en su sistema a través de la última
 versión de Internet Explorer.


 Ejemplo 1 (descarga y ejecución de una aplicación)

 En este caso se utiliza el agujero para descargar una aplicación y
 ejecutarla de forma transparente. Hemos escogido una pequeña broma
 gráfica inofensiva, de Robert Salesas, que da la vuelta a la pantalla.
 Con tan sólo visitar la página web, la aplicación se copiará en el
 disco duro del usuario como C:prueba_ie_hispasec.exe y la ejecutará.

 http://www.hispasec.com/directorio/labo ... drev3.html

 Después de completar el test, si se ha llevado a cabo con éxito, se
 recomienda eliminar el archivo C:prueba_ie_hispasec.exe

 En lugar de una aplicación inofensiva, que algunos antivirus pueden
 detectar como "joke" (broma), un atacante podría utilizar una página
 web, o un mensaje con formato HTML, para distribuir virus, gusanos
 o troyanos que infectarían de forma automática y transparente al
 usuario.


 Ejemplo 2 (Windows 2000/XP e Internet Explorer 6):

 En esta página abrimos una ventana DOS en el sistema del usuario
 en la que se demuestra la posibilidad de ejecutar cualquier comando.
 Podríamos, por ejemplo, borrar archivos o formatear la unidad, en su
 lugar solo hemos realizado un listado de la unidad C: y mostramos
 un mensaje de advertencia.

 http://www.hispasec.com/directorio/labo ... odrev.html


 Solución para evitar este tipo de exploit:

 A la espera del nuevo parche por parte de Microsoft, la única
 solución para este tipo de exploits pasa por desactivar la "Secuencia
 de comandos ActiveX" en Internet Explorer.

 Desde el menú Herramientas, Opciones de Internet, pestaña Seguridad,
 Nivel personalizado, Secuencias de comandos ActiveX, señalar la
 opción de Desactivar.

 El problema es que el navegador será incapaz de visualizar muchas
 páginas que utilizan scripts de forma correcta. Sin ir más lejos,
 por ejemplo, no podremos acceder a www.hotmail.com


 Ejemplo 3 (Windows 2000/XP e Internet Explorer 6)

 Esta es otra variante del exploit con los mismos efectos que el
 anterior, pero que es capaz de ejecutarse aun teniendo desactivada
 la opción de "Secuencias de comandos ActiveX".

 http://www.hispasec.com/directorio/labo ... drev2.html


 Solución para evitar este tipo de exploit:

 Desde el menú Herramientas, Opciones de Internet, pestaña Seguridad,
 Nivel personalizado, Controles y complementos de ActiveX, Ejecutar
 controles y complementos de ActiveX, señalar la opción de Desactivar.

 Evidentemente, con esta nueva restricción que configuramos en el
 navegador, aumenta la seguridad proporcionalmente a la posibilidad
 de que no podamos visualizar muchas páginas que necesitan de estas
 funcionalidades.


 Solución genérica:

 Otra opción, que permite visualizar páginas con scripts como Hotmail
 y a su vez estar libres de este tipo de vulnerabilidades que suelen
 afectar a Internet Explorer, consiste en utilizar otro navegador por
 defecto.

 Uno de los que últimamente se encuentra más en boga, consiguiendo
 día a día nuevos adeptos gracias a sus funcionalidades y fiabilidad,
 es Mozilla Firebird: http://www.mozilla.org/products/firebird/


 Otra capa de seguridad adicional la pueden proporcionar las casas
 antivirus, incluyendo firmas para reconocer de forma genérica el
 código de estos exploits, detectando y deteniendo cualquier página
 que intente aprovechar esta vulnerabilidad. Nos consta de que
 algunas casas antivirus se encuentran en estos momentos analizando
 el problema y actualizarán sus productos en breve. Recomendamos a
 los usuarios que, en el caso de que no lo hagan, exijan a sus
 productos antivirus que incluyan la protección necesaria.

 Opina sobre esta noticia:
 http://www.hispasec.com/unaaldia/1778/comentar

 Más información:

 22/08/2003 - Internet Explorer: actualización urgente
 http://www.hispasec.com/unaaldia/1762

 Microsoft Security Bulletin MS03-032
 Cumulative Patch for Internet Explorer (822925)
 http://www.microsoft.com/technet/securi ... 03-032.asp

 BAD NEWS: Microsoft Security Bulletin MS03-032

http://lists.netsys.com/pipermail/full- ... 09639.html

 Internet Explorer Object Data Remote Execution Vulnerability
 http://www.eeye.com/html/Research/Advis ... 30820.html

 Tests OnLine Hispasec
 http://www.hispasec.com/directorio/labo ... /Software/