[Articulo]: SObre las dos ultimas vulnerabilidades publicadas

Sobre las dos ultimas vulnerabilidades publicadas
-

Hace unos dias ha saltado una noticia (por ejemplo, publicada por Hispasec) que acusaba a los navegadores de Microsoft de un par de Bugs que vamos a ver a continuacion.

No solo la noticia peca de escandalosa, sino que además sucede igualmente con el resto de exploradores (o al menos tambien pasa con el Mozilla -comprobado-)


URL's mal construidas

Lo primero que hay que matizar es que no son mal construidas. Son construidas perfectamente y de acuerdo con la RFC que define los protocolos de internet y su sintaxis.

En particular la sintaxis completa de una pagina web es:

http://usuario:password@www.direccion_web.com:puerto

Lo que sucede es que normalemtne no accedemos con usuario / password y como por defecto, el puerto es el 80, tampoco lo ponemos.

El dia 4/11/2003, curiosamente (digo curiosamente, porque las casualudades a veces parecen "causalidades") publiqué en los grupos de noticias:

news://dakotabcn.net/dakota.publico...xp.general

un mensaje titulado: "viejos engaños...". Os aconsejo que mireis el holo de la conversacion y saqueis vuestras propias conclusiones. Como un pequeño resumen, empezaba:

supongo que si veis una direccion de este estilo:

http://www.microsoft.com:support%4062%2e57%2e115%2e225/download/KB254678_sp2.exe

¿sabreis lo que quiere decir ¿no?


Es tan simple, que "parece" que es un link a Microsoft. Pero no lo es. Realmente es un ling a la direccion IP: 62.57.115.225

Recordemos que en una URL puede sustituirse cualquier simbolo por %xx siendo xx la conversion hexadecimal del simbolo. La @ es un 40, y el punto es un 2e. Por tanto, traduciendo un poco lo anterior, queda:

http://www.microsoft.com:support@62.57.115.225/download/KB254678_sp2.exe

Es dcier, se accede al programa KB254678_sp2.exe que está en el servidor de internet 62.57.115.225 (no es el de Microsoft, por supuesto) con el usuario www.microsoft.vom y la password "support".

Cualquier usuario se habría tragado el engaño creyendo que descara un parche de MS y lo que está haciendo es metiendose un virus como una catedral (por ejemplo).

En el hilo en cuestion, teneis mas ejemplos y la explicacion de todos ellos.


* Y esto... un mes antes..

Pero no es un bug. Es diseño del tcp, y además, si lo filtramos... cuidado: el server Apache lo usa internamente para un monton de sus paginas y sobre todo de paquetes estandares que ruedan sobre Apache y que utilizan masivamente en Internet muchos sitios Web. Por tanto, si se filtra, se corre el peligro de cargarnos mas de un 20% de la red que lo está usando.


Y repito... el resto de Navegadores funcionan Igual. Probadlo con Mozilla este simple ejemplo:

http://www.nytimes.com%01%00@www.hispasec.com/directorio/laboratorio/Software/tests/nyt/nyt.html

el cual es una variante de lo anterior y os creereis que estais en la paginas del NewYork Times.



VULNERABILIDAD RECURSIVA DE ATAQUE DOS

Este es peor todavia y muchisimo mas viejo. Quien quiera "experimentarlo", existe esta pagina usada desde hace mucho tiempo para hacer bromas. Viejo, realmente viejo.

http://www.albinoblacksheep.com/flash/you.html


* La conclusion, es que se está sacando punta, y cazando brujas a base de cualquier informacion en la red.

Y una segunda conclusion: casualidad... o causalidad.



Jose Manuel Tella Llop
MS MVP - DTS
jmtella@compuserve.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.