Peligrosas vulnerabilidades en Internet Explorer
Por Angela Ruiz
Dos nuevas vulnerabilidades que afectan al Internet Explorer, han sido descubiertas y reveladas en Internet el mismo día de su descubrimiento, antes que Microsoft haya sido avisado de las mismas.
Los fallos, permiten eludir las configuraciones actuales de seguridad y proporcionan un acceso total a los sistemas vulnerables, según se ha publicado en varios sitios de seguridad. Solo basta un simple clic, para que se instalen o ejecuten archivos en el equipo vulnerable, y sin el conocimiento de la víctima.
Los agujeros han sido descubiertos a partir de un enlace anteriormente existente en Internet, y ya existe al menos una demostración totalmente funcional del exploit. El mismo afecta todas las versiones actuales del Internet Explorer, aún teniendo los últimos parches y todas las actualizaciones al día.
La compañía de seguridad británica Secunia, ha valorado como "muy crítico" el problema, y el único consejo para disminuir el riesgo, sería deshabilitar el Active Scripting para todo sitio no seguro, tal como recomienda VSAntivirus en el siguiente enlace: "Configuración personalizada para hacer más seguro el IE",
El descubrimiento proviene de un hacker holandés llamado Jelmer, mientras examinaba un enlace de Internet capaz de instalar parásitos del tipo adware en su computadora. Al hacer un análisis detallado de la conexión, descubrió el uso muy sofisticado de código encriptado para evitar la seguridad del navegador.
La conexión utiliza una vulnerabilidad desconocida para abrir un archivo de ayuda local del Explorer en una sintaxis como la siguiente:
ms-its : C: \WINDOWS\Help\iexplore .chm: : / iegetsrt.htm
Aunque esto no ejecuta nada de inmediato, en cambio habilita otra vulnerabilidad desconocida, para ejecutar otro archivo que a su vez ejecuta una serie de scripts (cada script ejecuta otro).
Finalmente se utiliza un último script para ejecutar un exploit para una vulnerabilidad conocida desde agosto de 2003, y que Microsoft aún no ha solucionado a pesar del tiempo transcurrido.
La razón es que esta vulnerabilidad (Adodb.stream), no había sido vista como potencialmente peligrosa, ya que solo funciona cuando el archivo que contiene el código está presente en el disco duro del usuario. El problema ahora, es que el archivo de ayuda abierto inicialmente, es asumido como seguro por el Explorer al ser local, y por lo tanto se aplican mínimas restricciones a su ejecución.
Utilizando el mencionado exploit, desconocido hasta ahora, el código se instala dentro de la ventana generada por el archivo de ayuda, sin restricciones de seguridad, y el segundo exploit, Adodb.stream, es utilizado entonces para descargar y ejecutar otros archivos directamente desde Internet en el disco duro.
De este modo, solo basta hacer un clic en el enlace malicioso de un correo electrónico o de una página Web, para que un pirata pueda tener de inmediato el control total de nuestra computadora.
Como no existen parches aún, y el exploit está disponible, el fallo es considerado como muy grave, si se utiliza Internet Explorer u Outlook Express.
Una solución que disminuye el riesgo, es configurar el IE como se explica en nuestro artículo, tal como mencionamos antes, siempre que no pinchemos en enlaces presentes en mensajes de correo electrónico, y al navegar solo nos manejemos en sitios de nuestra total confianza.
Las características de seguridad proporcionadas en el SP2 (Service Pack 2) de Windows XP (no disponible aún para usuarios finales, y con una versión beta solo en inglés), bloquea la explotación pero no se garantiza su efectividad total hasta que no se libere la versión final. Esto no ayuda a los usuarios en el momento actual.
Secunia reporta que esta vulnerabilidad ya está siendo usada activamente por distintas herramientas maliciosas, e incluso no se descartan virus que utilicen ingeniería social para invitar a visitar páginas que posean enlaces peligrosos.
Enlaces relacionados:
Configuración personalizada para hacer más seguro el IE
Unpatched IE vuln exploited by adware
Internet Explorer Local Resource Access and Cross-Zone Scripting Vulnerabilities
Fuente: vsantivirus.com
Saludos
maura63
msc hotline sat Virus Research Engineer