Hispasec -> sobre una de las vulnerabilidades de Internet Explorer

Respondido en los foros general de XP.

Por favor... ¿que sentido tiene colgar este mensaje aquí desligado del contexto en el cual yo respondi en su hilo original?. Solo por curiosidad.

Me temo... que si soy malpensado, es solo propaganda.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Bernardo Quintero" wrote in message news:btt16q$2dv$

Hash: SHA1

Saludos a los participantes del foro.

No conocía este foro, pero un lector de "una-al-dia" me ha escrito
comentándome que había un "MVP" negando la evidencia de una de las
vulnerabilidades de Internet Explorer y descalificándonos (a
Hispasec).

Jose Manuel Tella Llop escribió:
"Por otra parte, hispasec ha pasado de ser un centro de noticias
serias, a ser simplemente un negocio periodistico que solo vuelca las
noticias y los enfoques que le interesan."

En Hispasec no hay ningún periodista, y las notas de "una-al-día" que
publicamos de forma gratuita no obtienen ningún tipo de ingreso, ni
recibimos por ellas ningún trato de favor por parte de terceros.

Jopse Manuel Tella Llop escribió:
"¿que pasa con esta vulnerabilidad en los sitios de noticias como
Hispasec?... La recogen y "solo" dan tambien informacion parcial de
como removerlo porque no les interesa meterse en camisas de 11 varas
contra los consumidores. ¿es serio?... NO.
Unicamente en ciertas paginas serias (el CERN -maximo organo de
seguridad mundial- y en ciertas paginas de Antivirus como
VsAntivirus, aconsejan -recomiendan al maximo- el formateo."

Está mezclando conceptos. La vulnerabilidad en sí no requiere el
formateo, sino el compromiso del sistema.

Cuando una máquina que ha sido comprometida, de manera independiente
por la vulnerabilidad utilizada (sea la del interfaz RPC, o cualquier
otra), se suele recomendar el formateo de la misma, por la dificultad
que puede entrañar para los no profesionales detectar si se ha
troyanizado el sistema.

Si el sistema es comprometido por un gusano de propagación masiva,
del que se conoce exáctamente como trabaja y las modificaciones que
hace en el sistema (blaster y compañía), se puede desactivar de forma
fácil, y no requiere el formateo (el ejemplo más común es el uso de
un antivirus).

Siempre cabe la posibilidad de que además del gusano un atacante haya
comprometido el sistema de forma personalizada, por eso en sistemas
muy sensibles se recomienda el formateo.

Bajo ese nivel de paranoia (que puede ser recomendable, pero que es
complicado seguir en la práctica por usuarios de a pie), cada vez que
descubramos una nueva vulnerabilidad crítica para nuestro sistema,
habrá existido la posibilidad de que un atacante externo la haya
aprovechado antes de que instaláramos el parche, y en consecuencia
habría que formatear.

Como comprenderá, exigir ese nivel de seguridad a usuarios de a pie
puede resultar para algunos excesivo (entre los que me encuentro).
Aunque me parece oportuno que se explique tal posibilidad, y que se
recomiende el formateo del sistema para mayor seguridad. Eso sí,
después de formatearlo, si debe descargar los parches de seguridad de
Internet estará de nuevo expuesto durante esa ventana de tiempo, por
lo que para que la información fuera completa habría que indicar
también la configuración de seguridad que deben establecer justo
despues de formatear, instalar el sistema límpio, y antes de
conectarse a cualquier tipo de red.

JM Tella Llop escribió:
"voy a pasar a explayarme un poco y ver lo que es una vulnerabilidad,
o bien algo predefinido en las RFC que definen todo el comportamiento
del tcp/ip y que son "inviolables" o sino, no funcionaría ninguna
red."
[...]
"http://:nombre_sitio_web:puerto
Esta es la sintaxis completa. Y hay que respetarla y ejecutarla."

Vuelve a equivocarse. La nueva vulnerabilidad de Internet Explorer
utilizada para la falsificación de URL es una variante que afecta
exclusivamente a Internet Explorer, y que ni por asomo tiene el mismo
efecto que describe.

No se puede excusar en las RFC, porque no tiene nada que ver. De
hecho, navegadores como Opera o Mozilla cumplen perfectamente con la
RFC y con la sintaxis que usted describe, y sin embargo no les afecta
la nueva variante de URL spoofing que está siendo aprovechada contra
los usuarios de Internet Explorer (como en el reciente caso del Banco
Popular).

Y le aseguro que esos otros navegadores "funcionan" en red :)

Es el uso de los caracteres %00 %01 lo que provoca que Internet
Explorer no muestre la URL real en la barra de direcciones (aunque
sea enmascarada), SOLO aparece la URL falsa, por lo que el usuario no
puede detectar a simple vista que se encuentra en otra dirección. Ese
"comportamiento" no está descrito en ninguna RFC, ni es necesario
para nada (a excepción de para ser aprovechado en estafas y
similares).

Si prueba alguno de los tests (en Hispasec tenemos algunas páginas de
demostración), podrá comprobar como otros navegadores muestran la URL
completa, y en algunos casos, como Opera, hasta visualiza una ventana
de advertencia alertando al usuario e indicando la página real a la
que va a ser dirigido.

Sin ánimo de entrar en ningún tipo de polémica, espero que mi mensaje
sirva para aclarar algunas dudas y corregir ciertas afirmaciones
erróneas (a mi entender) publicadas en el foro.

Saludos cordiales,

Bernardo Quintero

JM Tella Llop [MVP Windows] escribió:

1) no puedes ni debes sacar conclusiones de un hilo o un mensaje sin estar
al dia de lo que sucede en los foros y el resot de mensajes (supongo que

quizá

en Hispasec, con eso de "una al dia", estia ya mal acostumbrados. Lo

siento,

pero segun te voy localizando en foros en los cuales no participo, me

parece

que tu postura es propagandistica, y lo que es peor de troll.

Hice llegar mi comentario en los foros donde encontré tus comentarios
negando
la vulnerabilidad de Internet Explorer y/o hacías referencia a Hispasec,
además
de en .seguridad

Efectivamente, son unos cuantos hilos y foros, pero no soy yo quién se ha
diversificado tanto :) Por la cantidad de hilos, opté finalmente por crear
uno
nuevo en algunos de los foros donde había visto se había tratado el tema.

En cualquier caso, reitero mis disculpas por si mi contestación "múltiple"
ha podido en algún caso molestar a algunos de los participantes en los
foros, con la única intención de que la información llegara allí donde se
ha vertido, a mi entender, afirmaciones erróneas, o pudiera resultar de
interés por la temática.

Bien. Entonces algo ha cambiado en la editorial o en los componentes de
Hispasec, porque aunque una de mis misiones es leeros todos los dias,
el cambio se postura y/o enfoque ha sido radical de una temporada a esta
parte. Evidentemente esto es una "apreciacion" y por tanto objeto de ser
subjetiva. Pero es "mi" apreciacion, al igual que la de otros compañeros

Estamos de acuerdo entonces en que es tú apreciación subjetiva, que
puede ser compartida por más o menos personas. Cada cual es libre
de pensar lo que quiera. Me parece perfecto que expreses tus diferencias
y opiniones.

Pero, si afirmas, como lo has hecho, que nos hemos convertido en un
"negocio periodístico", estás faltando a la verdad, ya que como te he
comentado no hay ningún periodista en Hispasec (que lo podría haber,
pero el hecho es que no lo hay), y que su distribución es gratuita (tanto
para los usuarios como los medios que la reproducen), no existiendo
ninguna retribución económica o de cualquier otro tipo por ellas.

Con respecto al posible cambio de componentes, si te fijas en las
firmas de las noticias, quién suele tratar los temas de vulnerabilidades
de MS, o las críticas por su cambio de política de actualización, etc.,
soy yo mismo, que soy socio co-fundador de Hispasec.

Como anécdota, que viene perfecta al caso, la primera noticia con la
que nació una-al-día en 1998 tenía el titular "Service Pack 4, los
problemas de la solución", donde se trataban los problemas de
compatibilidad del service pack 4 de Microsoft, y precisamente
era mía. A lo largo de todos estos años, puedes encontrar noticias
similares.

Como ves, pocos cambios en ese sentido al que apuntas :)

No obstante, repito, total respeto a tus opiniones y "apreciaciones".

Estaremos también de acuerdo en que es mucho mejor que no se
arrojen afirmaciones falsas.

de trabajo (que por cierto, no son "windoseros", sino "linuxeros".
por lo que que creo que no está mediatizada -la de un grupos totalmente
dispar de personas que trabajan en seguridad- por ser o no MVP
o por ser o no "windosero".

Creo que es un error enfocar ésto como una guerra "windows" vs.
"linux", muchas veces me da la impresión de que en algunos hilos
discuten ultras de futbol o seguidores de alguna secta en vez de
técnicos :)

Que alguien escriba sobre una vulnerabilidad o critique ciertas políticas
de MS, como es mi caso, no quiere decir que sea un "linuxero" o esté
contra Windows. Es más, en mi caso, al margen de la seguridad, el 90%
de mi trabajo como administrador y desarrollador siempre ha estado
relacionado con plataformas MS. En ese sentido me considero más
"windowsero" que "linuxero", y aunque pueda trabajar con ambos
(cada cual tiene su ámbito y momento), sigo especializado y paso la
mayor parte de mi tiempo en Windows.

Está mezclando conceptos. La vulnerabilidad en sí no requiere el
formateo, sino el compromiso del sistema.

Correcto. Y hay que asumir que un sistema comprometido, dependiendo
de como lo haya sido, es necesario formatearlo. Yna semana ANTES de

Bien, ya nos vamos poniendo de acuerdo :)

Creo que muchos sitios de informacion, incluidos vosotros, "pasasteis"
en este caso de dar una solucion correcta al usuario, pero desagradable.

Aquí difiero contigo. Como ya comenté en el post anterior, aunque puede
llegar a ser una medida "recomendable" (yo diría que con cierto grado de
paranoia, que en seguridad nunca sobra ;), es poco práctica.
Pongamos un ejemplo.

Ya estamos de acuerdo en que el problema no es la vulnerabilidad, sino
que una máquina haya sido comprometida de forma manual/personalizada
por un tercero.

Partiendo de esa premisa (del compromiso) Blaster no es un caso especial,
cualquier troyano o virus/gusano con funciones de backdoor permite a un
tercero sin ningún tipo de experiencia introducirse en un sistema con los
mismos privilegios que el usuario. Es más, cualquiera de las muchas
vulnerabilidades que permiten alcanzar máximos privilegios de forma
remota permiten eso, con más o menos necesidad de conocimientos por
parte del atacante dependiendo de la existencia de exploits públicos (la
vulnerabilidad en el interfaz RPC aprovechada por Blaster es sólo una
de tantas).

Según tu postura, cada vez que un sistema pueda haber sido comprometido
tendríamos que formatear, entonces cada vez que un usuario se infecta con
un virus o, algo más usual, cada vez que se descubra una nueva
vulnerabilidad
crítica que potencialmente permita comprometer un sistema, habría que
formatear e instalar de nuevo.

¿Conoces a alguien que cada 2 meses formatee su sistema e instale de nuevo?

Como es prácticamente inviable seguir esa regla, se opta porque la
recomendación
de formateo se haga cuando hay indicios de que el sistema ha sido
comprometido
de forma personalizada o cuando se trata de un sistema muy sensible que ha
tenido algún incidente de seguridad.

Que tu opinión es que se debe formatear en cualquier caso, pues nada,
la respeto, aunque no la comparta por los argumentos que he comentado :)

Es el uso de los caracteres %00 %01 lo que provoca que Internet
Explorer no muestre la URL real en la barra de direcciones (aunque
sea enmascarada), SOLO aparece la URL falsa, por lo que el usuario no
puede detectar a simple vista que se encuentra en otra dirección

O sea... el usuario final, que nunca mira la barra inferior, y que en

muchos casos

la tiene desactivada (!!!!), se va a fijar en ello. ¿no?. ¿esto es lo que

se considera

vulnerabilidad?...

Oh!, creo que te estás confundiendo de barra :)
¿De verdad has probado nuestrás páginas de demostración?
Te animo a que lo hagas:
http://www.hispasec.com/directorio/...deurl.html

Como verás, es la barra de "Dirección", la principal, la de arriba, la que
se
falsifica.

Por si acaso, y ya que mencionas la barra inferior de estado, ahí también se
falsifica :)

Es más, como veo que te gusta mucho VSAntivirus, me lo referencias en tus
posts como ejemplo de fuente "seria", y no terminas de "pillar" la cuestión,
te
animo a que visites su siguiente artículo, donde lo podrás ver con todo lujo
de
detalles gráficos (capturas y demás):

http://www.vsantivirus.com/vul-arroba3.htm

Precisamente ese artículo está basado en las páginas de demostración que
montamos en Hispasec. (A mi también me gusta mucho VSAntivirus, mantengo
muy buena relación con Jose Luís -su creador- y colaboramos e intercambiamos
experiencias de forma periódica).

Creo que, efectivamente es "a tu entender". De todas maneras, estoy abierto

a

dialogo por mail. (y no me importaría en absoluto) simplemente porque

me

gustaria que volvieseis a ser los "serios" que bajo mi punto de vista erais
anteriormente.

Me alegra que estés abierto al diálogo, seguro que llegamos a entendernos,
que finalmente ves la vulnerabilidad en el Internet Explorer, e includo que
compartamos muchos puntos de vista.

Por descontado, nos esforzamos en intentar ser "serios", y espero que tu
también vuelvas a tener esa sensación (haré todo lo que esté en mi mano).

Saludos cordiales,

Bernardo Quintero

Te he respondido en el grupo general de XP.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Bernardo Quintero" wrote in message news:

JM Tella Llop [MVP Windows] escribió:

1) no puedes ni debes sacar conclusiones de un hilo o un mensaje sin estar
al dia de lo que sucede en los foros y el resot de mensajes (supongo que

quizá

en Hispasec, con eso de "una al dia", estia ya mal acostumbrados. Lo

siento,

pero segun te voy localizando en foros en los cuales no participo, me

parece

que tu postura es propagandistica, y lo que es peor de troll.

Hice llegar mi comentario en los foros donde encontré tus comentarios
negando
la vulnerabilidad de Internet Explorer y/o hacías referencia a Hispasec,
además
de en .seguridad

Efectivamente, son unos cuantos hilos y foros, pero no soy yo quién se ha
diversificado tanto :) Por la cantidad de hilos, opté finalmente por crear
uno
nuevo en algunos de los foros donde había visto se había tratado el tema.

En cualquier caso, reitero mis disculpas por si mi contestación "múltiple"
ha podido en algún caso molestar a algunos de los participantes en los
foros, con la única intención de que la información llegara allí donde se
ha vertido, a mi entender, afirmaciones erróneas, o pudiera resultar de
interés por la temática.

Bien. Entonces algo ha cambiado en la editorial o en los componentes de
Hispasec, porque aunque una de mis misiones es leeros todos los dias,
el cambio se postura y/o enfoque ha sido radical de una temporada a esta
parte. Evidentemente esto es una "apreciacion" y por tanto objeto de ser
subjetiva. Pero es "mi" apreciacion, al igual que la de otros compañeros

Estamos de acuerdo entonces en que es tú apreciación subjetiva, que
puede ser compartida por más o menos personas. Cada cual es libre
de pensar lo que quiera. Me parece perfecto que expreses tus diferencias
y opiniones.

Pero, si afirmas, como lo has hecho, que nos hemos convertido en un
"negocio periodístico", estás faltando a la verdad, ya que como te he
comentado no hay ningún periodista en Hispasec (que lo podría haber,
pero el hecho es que no lo hay), y que su distribución es gratuita (tanto
para los usuarios como los medios que la reproducen), no existiendo
ninguna retribución económica o de cualquier otro tipo por ellas.

Con respecto al posible cambio de componentes, si te fijas en las
firmas de las noticias, quién suele tratar los temas de vulnerabilidades
de MS, o las críticas por su cambio de política de actualización, etc.,
soy yo mismo, que soy socio co-fundador de Hispasec.

Como anécdota, que viene perfecta al caso, la primera noticia con la
que nació una-al-día en 1998 tenía el titular "Service Pack 4, los
problemas de la solución", donde se trataban los problemas de
compatibilidad del service pack 4 de Microsoft, y precisamente
era mía. A lo largo de todos estos años, puedes encontrar noticias
similares.

Como ves, pocos cambios en ese sentido al que apuntas :)

No obstante, repito, total respeto a tus opiniones y "apreciaciones".

Estaremos también de acuerdo en que es mucho mejor que no se
arrojen afirmaciones falsas.

de trabajo (que por cierto, no son "windoseros", sino "linuxeros".
por lo que que creo que no está mediatizada -la de un grupos totalmente
dispar de personas que trabajan en seguridad- por ser o no MVP
o por ser o no "windosero".

Creo que es un error enfocar ésto como una guerra "windows" vs.
"linux", muchas veces me da la impresión de que en algunos hilos
discuten ultras de futbol o seguidores de alguna secta en vez de
técnicos :)

Que alguien escriba sobre una vulnerabilidad o critique ciertas políticas
de MS, como es mi caso, no quiere decir que sea un "linuxero" o esté
contra Windows. Es más, en mi caso, al margen de la seguridad, el 90%
de mi trabajo como administrador y desarrollador siempre ha estado
relacionado con plataformas MS. En ese sentido me considero más
"windowsero" que "linuxero", y aunque pueda trabajar con ambos
(cada cual tiene su ámbito y momento), sigo especializado y paso la
mayor parte de mi tiempo en Windows.

Está mezclando conceptos. La vulnerabilidad en sí no requiere el
formateo, sino el compromiso del sistema.

Correcto. Y hay que asumir que un sistema comprometido, dependiendo
de como lo haya sido, es necesario formatearlo. Yna semana ANTES de

Bien, ya nos vamos poniendo de acuerdo :)

Creo que muchos sitios de informacion, incluidos vosotros, "pasasteis"
en este caso de dar una solucion correcta al usuario, pero desagradable.

Aquí difiero contigo. Como ya comenté en el post anterior, aunque puede
llegar a ser una medida "recomendable" (yo diría que con cierto grado de
paranoia, que en seguridad nunca sobra ;), es poco práctica.
Pongamos un ejemplo.

Ya estamos de acuerdo en que el problema no es la vulnerabilidad, sino
que una máquina haya sido comprometida de forma manual/personalizada
por un tercero.

Partiendo de esa premisa (del compromiso) Blaster no es un caso especial,
cualquier troyano o virus/gusano con funciones de backdoor permite a un
tercero sin ningún tipo de experiencia introducirse en un sistema con los
mismos privilegios que el usuario. Es más, cualquiera de las muchas
vulnerabilidades que permiten alcanzar máximos privilegios de forma
remota permiten eso, con más o menos necesidad de conocimientos por
parte del atacante dependiendo de la existencia de exploits públicos (la
vulnerabilidad en el interfaz RPC aprovechada por Blaster es sólo una
de tantas).

Según tu postura, cada vez que un sistema pueda haber sido comprometido
tendríamos que formatear, entonces cada vez que un usuario se infecta con
un virus o, algo más usual, cada vez que se descubra una nueva
vulnerabilidad
crítica que potencialmente permita comprometer un sistema, habría que
formatear e instalar de nuevo.

¿Conoces a alguien que cada 2 meses formatee su sistema e instale de nuevo?

Como es prácticamente inviable seguir esa regla, se opta porque la
recomendación
de formateo se haga cuando hay indicios de que el sistema ha sido
comprometido
de forma personalizada o cuando se trata de un sistema muy sensible que ha
tenido algún incidente de seguridad.

Que tu opinión es que se debe formatear en cualquier caso, pues nada,
la respeto, aunque no la comparta por los argumentos que he comentado :)

Es el uso de los caracteres %00 %01 lo que provoca que Internet
Explorer no muestre la URL real en la barra de direcciones (aunque
sea enmascarada), SOLO aparece la URL falsa, por lo que el usuario no
puede detectar a simple vista que se encuentra en otra dirección

O sea... el usuario final, que nunca mira la barra inferior, y que en

muchos casos

la tiene desactivada (!!!!), se va a fijar en ello. ¿no?. ¿esto es lo que

se considera

vulnerabilidad?...

Oh!, creo que te estás confundiendo de barra :)
¿De verdad has probado nuestrás páginas de demostración?
Te animo a que lo hagas:
http://www.hispasec.com/directorio/...deurl.html

Como verás, es la barra de "Dirección", la principal, la de arriba, la que
se
falsifica.

Por si acaso, y ya que mencionas la barra inferior de estado, ahí también se
falsifica :)

Es más, como veo que te gusta mucho VSAntivirus, me lo referencias en tus
posts como ejemplo de fuente "seria", y no terminas de "pillar" la cuestión,
te
animo a que visites su siguiente artículo, donde lo podrás ver con todo lujo
de
detalles gráficos (capturas y demás):

http://www.vsantivirus.com/vul-arroba3.htm

Precisamente ese artículo está basado en las páginas de demostración que
montamos en Hispasec. (A mi también me gusta mucho VSAntivirus, mantengo
muy buena relación con Jose Luís -su creador- y colaboramos e intercambiamos
experiencias de forma periódica).

Creo que, efectivamente es "a tu entender". De todas maneras, estoy abierto

a

dialogo por mail. (y no me importaría en absoluto) simplemente porque

me

gustaria que volvieseis a ser los "serios" que bajo mi punto de vista erais
anteriormente.

Me alegra que estés abierto al diálogo, seguro que llegamos a entendernos,
que finalmente ves la vulnerabilidad en el Internet Explorer, e includo que
compartamos muchos puntos de vista.

Por descontado, nos esforzamos en intentar ser "serios", y espero que tu
también vuelvas a tener esa sensación (haré todo lo que esté en mi mano).

Saludos cordiales,

Bernardo Quintero