[Articulo]: SObre las dos ultimas vulnerabilidades publicadas

Hash: SHA1

Saludos a los participantes del foro.

No conocía este foro, pero un lector de "una-al-dia" me ha
escrito
comentándome que había un "MVP" negando la evidencia de
una de las
vulnerabilidades de Internet Explorer y descalificándonos
(a
Hispasec).

Jose Manuel Tella Llop escribió:
"Por otra parte, hispasec ha pasado de ser un centro de
noticias
serias, a ser simplemente un negocio periodistico que solo
vuelca las
noticias y los enfoques que le interesan."

En Hispasec no hay ningún periodista, y las notas de "una-
al-día" que
publicamos de forma gratuita no obtienen ningún tipo de
ingreso, ni
recibimos por ellas ningún trato de favor por parte de
terceros.

Jopse Manuel Tella Llop escribió:
"¿que pasa con esta vulnerabilidad en los sitios de
noticias como
Hispasec?... La recogen y "solo" dan tambien informacion
parcial de
como removerlo porque no les interesa meterse en camisas
de 11 varas
contra los consumidores. ¿es serio?... NO.
Unicamente en ciertas paginas serias (el CERN -maximo
organo de
seguridad mundial- y en ciertas paginas de Antivirus como
VsAntivirus, aconsejan -recomiendan al maximo- el
formateo."

Está mezclando conceptos. La vulnerabilidad en sí no
requiere el
formateo, sino el compromiso del sistema.

Cuando una máquina que ha sido comprometida, de manera
independiente
por la vulnerabilidad utilizada (sea la del interfaz RPC,
o cualquier
otra), se suele recomendar el formateo de la misma, por la
dificultad
que puede entrañar para los no profesionales detectar si
se ha
troyanizado el sistema.

Si el sistema es comprometido por un gusano de propagación
masiva,
del que se conoce exáctamente como trabaja y las
modificaciones que
hace en el sistema (blaster y compañía), se puede
desactivar de forma
fácil, y no requiere el formateo (el ejemplo más común es
el uso de
un antivirus).

Siempre cabe la posibilidad de que además del gusano un
atacante haya
comprometido el sistema de forma personalizada, por eso en
sistemas
muy sensibles se recomienda el formateo.

Bajo ese nivel de paranoia (que puede ser recomendable,
pero que es
complicado seguir en la práctica por usuarios de a pie),
cada vez que
descubramos una nueva vulnerabilidad crítica para nuestro
sistema,
habrá existido la posibilidad de que un atacante externo
la haya
aprovechado antes de que instaláramos el parche, y en
consecuencia
habría que formatear.

Como comprenderá, exigir ese nivel de seguridad a usuarios
de a pie
puede resultar para algunos excesivo (entre los que me
encuentro).
Aunque me parece oportuno que se explique tal posibilidad,
y que se
recomiende el formateo del sistema para mayor seguridad.
Eso sí,
después de formatearlo, si debe descargar los parches de
seguridad de
Internet estará de nuevo expuesto durante esa ventana de
tiempo, por
lo que para que la información fuera completa habría que
indicar
también la configuración de seguridad que deben establecer
justo
despues de formatear, instalar el sistema límpio, y antes
de
conectarse a cualquier tipo de red.

JM Tella Llop escribió:
"voy a pasar a explayarme un poco y ver lo que es una
vulnerabilidad,
o bien algo predefinido en las RFC que definen todo el
comportamiento
del tcp/ip y que son "inviolables" o sino, no funcionaría
ninguna
red."
[...]
"http://:nombre_sitio_web:puerto
Esta es la sintaxis completa. Y hay que respetarla y
ejecutarla."

Vuelve a equivocarse. La nueva vulnerabilidad de Internet
Explorer
utilizada para la falsificación de URL es una variante que
afecta
exclusivamente a Internet Explorer, y que ni por asomo
tiene el mismo
efecto que describe.

No se puede excusar en las RFC, porque no tiene nada que
ver. De
hecho, navegadores como Opera o Mozilla cumplen
perfectamente con la
RFC y con la sintaxis que usted describe, y sin embargo no
les afecta
la nueva variante de URL spoofing que está siendo
aprovechada contra
los usuarios de Internet Explorer (como en el reciente
caso del Banco
Popular).

Y le aseguro que esos otros navegadores "funcionan" en
red :)

Es el uso de los caracteres %00 %01 lo que provoca que
Internet
Explorer no muestre la URL real en la barra de direcciones
(aunque
sea enmascarada), SOLO aparece la URL falsa, por lo que el
usuario no
puede detectar a simple vista que se encuentra en otra
dirección. Ese
"comportamiento" no está descrito en ninguna RFC, ni es
necesario
para nada (a excepción de para ser aprovechado en estafas y
similares).

Si prueba alguno de los tests (en Hispasec tenemos algunas
páginas de
demostración), podrá comprobar como otros navegadores
muestran la URL
completa, y en algunos casos, como Opera, hasta visualiza
una ventana
de advertencia alertando al usuario e indicando la página
real a la
que va a ser dirigido.

Sin ánimo de entrar en ningún tipo de polémica, espero que
mi mensaje
sirva para aclarar algunas dudas y corregir ciertas
afirmaciones
erróneas (a mi entender) publicadas en el foro.

Saludos cordiales,

Bernardo Quintero

"Sin ánimo de entrar en ningún tipo de polémica"Los MVP no son empleados
de Microsoft, son personas a las cuales Microsoft ha querido agradecer por
su participación y buena voluntad para ayudar a otras personas en estas
comunidades.
http://mvp.support.microsoft.com/de...pr=mvpfaqs
Las soluciones, opiniones e ideas emitidas por algun integrante de este
grupo de excepcionales voluntarios, hasta donde yo se, son hechas a título
personal al igual que todos los que intervenimos en estos foros y no
necesariamente avaladas por Microsoft.
En mi opinion personal, si usted o su empresa se ha visto afectada por el
comentario realizado en alguno de estos foros, creo que seria mas
conveniente el tratar de contactar a la(s) persona(s) involucrada(s) en el
asunto o planteando sus discordancias en el mismo foro e "hilo" donde se
inició la discusión.

Salud y Suerte...
Eduardo Perez

"Bernardo Quintero" escribió en el mensaje
news:515101c3d8a6$5cfb9c30$
Hash: SHA1

Saludos a los participantes del foro.

No conocía este foro, pero un lector de "una-al-dia" me ha
escrito
comentándome que había un "MVP" negando la evidencia de
una de las
vulnerabilidades de Internet Explorer y descalificándonos
(a
Hispasec).

Jose Manuel Tella Llop escribió:
"Por otra parte, hispasec ha pasado de ser un centro de
noticias
serias, a ser simplemente un negocio periodistico que solo
vuelca las
noticias y los enfoques que le interesan."

En Hispasec no hay ningún periodista, y las notas de "una-
al-día" que
publicamos de forma gratuita no obtienen ningún tipo de
ingreso, ni
recibimos por ellas ningún trato de favor por parte de
terceros.

Jopse Manuel Tella Llop escribió:
"¿que pasa con esta vulnerabilidad en los sitios de
noticias como
Hispasec?... La recogen y "solo" dan tambien informacion
parcial de
como removerlo porque no les interesa meterse en camisas
de 11 varas
contra los consumidores. ¿es serio?... NO.
Unicamente en ciertas paginas serias (el CERN -maximo
organo de
seguridad mundial- y en ciertas paginas de Antivirus como
VsAntivirus, aconsejan -recomiendan al maximo- el
formateo."

Está mezclando conceptos. La vulnerabilidad en sí no
requiere el
formateo, sino el compromiso del sistema.

Cuando una máquina que ha sido comprometida, de manera
independiente
por la vulnerabilidad utilizada (sea la del interfaz RPC,
o cualquier
otra), se suele recomendar el formateo de la misma, por la
dificultad
que puede entrañar para los no profesionales detectar si
se ha
troyanizado el sistema.

Si el sistema es comprometido por un gusano de propagación
masiva,
del que se conoce exáctamente como trabaja y las
modificaciones que
hace en el sistema (blaster y compañía), se puede
desactivar de forma
fácil, y no requiere el formateo (el ejemplo más común es
el uso de
un antivirus).

Siempre cabe la posibilidad de que además del gusano un
atacante haya
comprometido el sistema de forma personalizada, por eso en
sistemas
muy sensibles se recomienda el formateo.

Bajo ese nivel de paranoia (que puede ser recomendable,
pero que es
complicado seguir en la práctica por usuarios de a pie),
cada vez que
descubramos una nueva vulnerabilidad crítica para nuestro
sistema,
habrá existido la posibilidad de que un atacante externo
la haya
aprovechado antes de que instaláramos el parche, y en
consecuencia
habría que formatear.

Como comprenderá, exigir ese nivel de seguridad a usuarios
de a pie
puede resultar para algunos excesivo (entre los que me
encuentro).
Aunque me parece oportuno que se explique tal posibilidad,
y que se
recomiende el formateo del sistema para mayor seguridad.
Eso sí,
después de formatearlo, si debe descargar los parches de
seguridad de
Internet estará de nuevo expuesto durante esa ventana de
tiempo, por
lo que para que la información fuera completa habría que
indicar
también la configuración de seguridad que deben establecer
justo
despues de formatear, instalar el sistema límpio, y antes
de
conectarse a cualquier tipo de red.

JM Tella Llop escribió:
"voy a pasar a explayarme un poco y ver lo que es una
vulnerabilidad,
o bien algo predefinido en las RFC que definen todo el
comportamiento
del tcp/ip y que son "inviolables" o sino, no funcionaría
ninguna
red."
[...]
"http://:nombre_sitio_web:puerto
Esta es la sintaxis completa. Y hay que respetarla y
ejecutarla."

Vuelve a equivocarse. La nueva vulnerabilidad de Internet
Explorer
utilizada para la falsificación de URL es una variante que
afecta
exclusivamente a Internet Explorer, y que ni por asomo
tiene el mismo
efecto que describe.

No se puede excusar en las RFC, porque no tiene nada que
ver. De
hecho, navegadores como Opera o Mozilla cumplen
perfectamente con la
RFC y con la sintaxis que usted describe, y sin embargo no
les afecta
la nueva variante de URL spoofing que está siendo
aprovechada contra
los usuarios de Internet Explorer (como en el reciente
caso del Banco
Popular).

Y le aseguro que esos otros navegadores "funcionan" en
red :)

Es el uso de los caracteres %00 %01 lo que provoca que
Internet
Explorer no muestre la URL real en la barra de direcciones
(aunque
sea enmascarada), SOLO aparece la URL falsa, por lo que el
usuario no
puede detectar a simple vista que se encuentra en otra
dirección. Ese
"comportamiento" no está descrito en ninguna RFC, ni es
necesario
para nada (a excepción de para ser aprovechado en estafas y
similares).

Si prueba alguno de los tests (en Hispasec tenemos algunas
páginas de
demostración), podrá comprobar como otros navegadores
muestran la URL
completa, y en algunos casos, como Opera, hasta visualiza
una ventana
de advertencia alertando al usuario e indicando la página
real a la
que va a ser dirigido.

Sin ánimo de entrar en ningún tipo de polémica, espero que
mi mensaje
sirva para aclarar algunas dudas y corregir ciertas
afirmaciones
erróneas (a mi entender) publicadas en el foro.

Saludos cordiales,

Bernardo Quintero

Hola Eduardo

En mi opinion personal, si usted o su empresa se ha visto afectada por el
comentario realizado en alguno de estos foros, creo que seria mas
conveniente el tratar de contactar a la(s) persona(s) involucrada(s) en el
asunto o planteando sus discordancias en el mismo foro e "hilo" donde se
inició la discusión.

Eso es lo que he intentado, aunque no se si lo he conseguido completamente,
puesto que he podido observar que el tema ha sido tratado en diversos hilos
(incluido éste).

Gracias por el consejo en cualquier caso.

Saludos,
Bernardo Quintero

Disculpa la intromision y bienvenido al grupo :) Siempre es bueno tener
gente con avanzados conocimientos

Salud y Suerte...
Eduardo Perez

"Bernardo Quintero" escribió en el mensaje
news:btsugl$k0o$

Hola Eduardo

> En mi opinion personal, si usted o su empresa se ha visto afectada por

el

> comentario realizado en alguno de estos foros, creo que seria mas
> conveniente el tratar de contactar a la(s) persona(s) involucrada(s) en

el

> asunto o planteando sus discordancias en el mismo foro e "hilo" donde se
> inició la discusión.

Eso es lo que he intentado, aunque no se si lo he conseguido

completamente,

puesto que he podido observar que el tema ha sido tratado en diversos

hilos

(incluido éste).

Gracias por el consejo en cualquier caso.

Saludos,
Bernardo Quintero