Hispasec -> sobre una de las vulnerabilidades de Internet Explorer

En Hispasec no hay ningún periodista, y las notas de "una-al-día" que
publicamos de forma gratuita no obtienen ningún tipo de ingreso, ni
recibimos por ellas ningún trato de favor por parte de terceros.

Está mezclando conceptos. La vulnerabilidad en sí no requiere el
formateo, sino el compromiso del sistema.

Es el uso de los caracteres %00 %01 lo que provoca que Internet
Explorer no muestre la URL real en la barra de direcciones (aunque
sea enmascarada), SOLO aparece la URL falsa, por lo que el usuario no
puede detectar a simple vista que se encuentra en otra dirección

Sin ánimo de entrar en ningún tipo de polémica, espero que mi mensaje
sirva para aclarar algunas dudas y corregir ciertas afirmaciones
erróneas (a mi entender) publicadas en el foro.

Hash: SHA1

Saludos a los participantes del foro.

No conocía este foro, pero un lector de "una-al-dia" me ha escrito
comentándome que había un "MVP" negando la evidencia de una de las
vulnerabilidades de Internet Explorer y descalificándonos (a
Hispasec).

Jose Manuel Tella Llop escribió:
"Por otra parte, hispasec ha pasado de ser un centro de noticias
serias, a ser simplemente un negocio periodistico que solo vuelca las
noticias y los enfoques que le interesan."

En Hispasec no hay ningún periodista, y las notas de "una-al-día" que
publicamos de forma gratuita no obtienen ningún tipo de ingreso, ni
recibimos por ellas ningún trato de favor por parte de terceros.

Jopse Manuel Tella Llop escribió:
"¿que pasa con esta vulnerabilidad en los sitios de noticias como
Hispasec?... La recogen y "solo" dan tambien informacion parcial de
como removerlo porque no les interesa meterse en camisas de 11 varas
contra los consumidores. ¿es serio?... NO.
Unicamente en ciertas paginas serias (el CERN -maximo organo de
seguridad mundial- y en ciertas paginas de Antivirus como
VsAntivirus, aconsejan -recomiendan al maximo- el formateo."

Está mezclando conceptos. La vulnerabilidad en sí no requiere el
formateo, sino el compromiso del sistema.

Cuando una máquina que ha sido comprometida, de manera independiente
por la vulnerabilidad utilizada (sea la del interfaz RPC, o cualquier
otra), se suele recomendar el formateo de la misma, por la dificultad
que puede entrañar para los no profesionales detectar si se ha
troyanizado el sistema.

Si el sistema es comprometido por un gusano de propagación masiva,
del que se conoce exáctamente como trabaja y las modificaciones que
hace en el sistema (blaster y compañía), se puede desactivar de forma
fácil, y no requiere el formateo (el ejemplo más común es el uso de
un antivirus).

Siempre cabe la posibilidad de que además del gusano un atacante haya
comprometido el sistema de forma personalizada, por eso en sistemas
muy sensibles se recomienda el formateo.

Bajo ese nivel de paranoia (que puede ser recomendable, pero que es
complicado seguir en la práctica por usuarios de a pie), cada vez que
descubramos una nueva vulnerabilidad crítica para nuestro sistema,
habrá existido la posibilidad de que un atacante externo la haya
aprovechado antes de que instaláramos el parche, y en consecuencia
habría que formatear.

Como comprenderá, exigir ese nivel de seguridad a usuarios de a pie
puede resultar para algunos excesivo (entre los que me encuentro).
Aunque me parece oportuno que se explique tal posibilidad, y que se
recomiende el formateo del sistema para mayor seguridad. Eso sí,
después de formatearlo, si debe descargar los parches de seguridad de
Internet estará de nuevo expuesto durante esa ventana de tiempo, por
lo que para que la información fuera completa habría que indicar
también la configuración de seguridad que deben establecer justo
despues de formatear, instalar el sistema límpio, y antes de
conectarse a cualquier tipo de red.

JM Tella Llop escribió:
"voy a pasar a explayarme un poco y ver lo que es una vulnerabilidad,
o bien algo predefinido en las RFC que definen todo el comportamiento
del tcp/ip y que son "inviolables" o sino, no funcionaría ninguna
red."
[...]
"http://:nombre_sitio_web:puerto
Esta es la sintaxis completa. Y hay que respetarla y ejecutarla."

Vuelve a equivocarse. La nueva vulnerabilidad de Internet Explorer
utilizada para la falsificación de URL es una variante que afecta
exclusivamente a Internet Explorer, y que ni por asomo tiene el mismo
efecto que describe.

No se puede excusar en las RFC, porque no tiene nada que ver. De
hecho, navegadores como Opera o Mozilla cumplen perfectamente con la
RFC y con la sintaxis que usted describe, y sin embargo no les afecta
la nueva variante de URL spoofing que está siendo aprovechada contra
los usuarios de Internet Explorer (como en el reciente caso del Banco
Popular).

Y le aseguro que esos otros navegadores "funcionan" en red :)

Es el uso de los caracteres %00 %01 lo que provoca que Internet
Explorer no muestre la URL real en la barra de direcciones (aunque
sea enmascarada), SOLO aparece la URL falsa, por lo que el usuario no
puede detectar a simple vista que se encuentra en otra dirección. Ese
"comportamiento" no está descrito en ninguna RFC, ni es necesario
para nada (a excepción de para ser aprovechado en estafas y
similares).

Si prueba alguno de los tests (en Hispasec tenemos algunas páginas de
demostración), podrá comprobar como otros navegadores muestran la URL
completa, y en algunos casos, como Opera, hasta visualiza una ventana
de advertencia alertando al usuario e indicando la página real a la
que va a ser dirigido.

Sin ánimo de entrar en ningún tipo de polémica, espero que mi mensaje
sirva para aclarar algunas dudas y corregir ciertas afirmaciones
erróneas (a mi entender) publicadas en el foro.

Saludos cordiales,

Bernardo Quintero

Hola Rodolfo,

"Rodolfo Parrado Gutiérrez" escribió:
"solo una inquietud, me parece que en Hispasec aparecen muchas cosas de
Microsoft, pero poco vemos fallos de otros sistemas operativos, como
suceden en otras paginas...
eso lo deja a uno pensando a veces..."

Tienes razón en que dedicamos especial atención en "una-al-dia" a MS,
y es porque es sin duda el sistema operativo más extendido, lo que
también supone que el impacto de sus vulnerabilidades sea mayor (por
el número de personas a las que afecta).

Vulnerabilidades hay muchas a diario, y en prácticamente todas las
plataformas (sean MS o no). Por si te sirve de indicador, en Hispasec,
un mes "normal", documentamos una media de más de 20 vulnerabilidades
diarias. Podríamos por ejemplo enfocar en vulnerabilidades de Sun o HP-UX,
y en tal caso seguramente recibiríamos críticas de mucha gente porque
son cosas que ni conocen ni les afecta.

Cuando describimos una vulnerabilidad, sea de MS o de otra plataforma,
no es para entrar en el juego de si una plataforma es "peor" o "mejor", o
si tiene más o menos vulnerabilidades (discusión poco productiva).
Simplemente pretendemos, bajo nuestro criterio, comentar la noticia que
pensamos puede resultar de mayor interés para los lectores, y en la
medida de lo posible también intentamos ser heterogéneos (de vez en
cuando hablar de sistemas minoritarios).

En cualquier caso entendemos que escribiendo una noticia diaria no
podemos contentar a todos los lectores, y que en función de la temática
algunos puedan estar de acuerdo o no. En ese sentido, podemos
recibir comentarios o críticas de usuarios de Linux o de la comunidad
Open Source tanto como de Microsoft.

Tenemos un servicio profesional, SANA, donde se recogen todas las
vulnerabilidades de todas las plataformas, y que los suscriptores pueden
recibir según un perfil determinado (plataformas que les interese). Viendo
las estadísticas de SANA, puede observarse que no hay fijación o trato
de favor con ninguna plataforma en concreto.

Saludos,
Bernardo Quintero

Hash: SHA1

Saludos a los participantes del foro.

No conocía este foro, pero un lector de "una-al-dia" me

comentándome que había un "MVP" negando la evidencia de

vulnerabilidades de Internet Explorer y descalificándonos

Hispasec).

Jose Manuel Tella Llop escribió:
"Por otra parte, hispasec ha pasado de ser un centro de

serias, a ser simplemente un negocio periodistico que

noticias y los enfoques que le interesan."

En Hispasec no hay ningún periodista, y las notas de "una-

publicamos de forma gratuita no obtienen ningún tipo de

recibimos por ellas ningún trato de favor por parte de

Jopse Manuel Tella Llop escribió:
"¿que pasa con esta vulnerabilidad en los sitios de

Hispasec?... La recogen y "solo" dan tambien informacion

como removerlo porque no les interesa meterse en camisas

contra los consumidores. ¿es serio?... NO.
Unicamente en ciertas paginas serias (el CERN -maximo

seguridad mundial- y en ciertas paginas de Antivirus como
VsAntivirus, aconsejan -recomiendan al maximo- el

Está mezclando conceptos. La vulnerabilidad en sí no

formateo, sino el compromiso del sistema.

Cuando una máquina que ha sido comprometida, de manera

por la vulnerabilidad utilizada (sea la del interfaz RPC,

otra), se suele recomendar el formateo de la misma, por

que puede entrañar para los no profesionales detectar si

troyanizado el sistema.

Si el sistema es comprometido por un gusano de

del que se conoce exáctamente como trabaja y las

hace en el sistema (blaster y compañía), se puede

fácil, y no requiere el formateo (el ejemplo más común es

un antivirus).

Siempre cabe la posibilidad de que además del gusano un

comprometido el sistema de forma personalizada, por eso

muy sensibles se recomienda el formateo.

Bajo ese nivel de paranoia (que puede ser recomendable,

complicado seguir en la práctica por usuarios de a pie),

descubramos una nueva vulnerabilidad crítica para nuestro

habrá existido la posibilidad de que un atacante externo

aprovechado antes de que instaláramos el parche, y en

habría que formatear.

Como comprenderá, exigir ese nivel de seguridad a

puede resultar para algunos excesivo (entre los que me

Aunque me parece oportuno que se explique tal

recomiende el formateo del sistema para mayor seguridad.

después de formatearlo, si debe descargar los parches de

Internet estará de nuevo expuesto durante esa ventana de

lo que para que la información fuera completa habría que

también la configuración de seguridad que deben

despues de formatear, instalar el sistema límpio, y antes

conectarse a cualquier tipo de red.

JM Tella Llop escribió:
"voy a pasar a explayarme un poco y ver lo que es una

o bien algo predefinido en las RFC que definen todo el

del tcp/ip y que son "inviolables" o sino, no funcionaría

red."
[...]
"http://:nombre_sitio_web:puerto
Esta es la sintaxis completa. Y hay que respetarla y

Vuelve a equivocarse. La nueva vulnerabilidad de Internet

utilizada para la falsificación de URL es una variante

exclusivamente a Internet Explorer, y que ni por asomo

efecto que describe.

No se puede excusar en las RFC, porque no tiene nada que

hecho, navegadores como Opera o Mozilla cumplen

RFC y con la sintaxis que usted describe, y sin embargo

la nueva variante de URL spoofing que está siendo

los usuarios de Internet Explorer (como en el reciente

Popular).

Y le aseguro que esos otros navegadores "funcionan" en

Es el uso de los caracteres %00 %01 lo que provoca que

Explorer no muestre la URL real en la barra de

sea enmascarada), SOLO aparece la URL falsa, por lo que

puede detectar a simple vista que se encuentra en otra

"comportamiento" no está descrito en ninguna RFC, ni es

para nada (a excepción de para ser aprovechado en estafas

similares).

Si prueba alguno de los tests (en Hispasec tenemos

demostración), podrá comprobar como otros navegadores

completa, y en algunos casos, como Opera, hasta visualiza

de advertencia alertando al usuario e indicando la página

que va a ser dirigido.

Sin ánimo de entrar en ningún tipo de polémica, espero

sirva para aclarar algunas dudas y corregir ciertas

erróneas (a mi entender) publicadas en el foro.

Saludos cordiales,

Bernardo Quintero





.

Te he respondido antes, pero veo de nuevo tu mismo

Una par de aclaraciones (y por favor, si deseas

En Hispasec no hay ningún periodista, y las notas

publicamos de forma gratuita no obtienen ningún tipo de

recibimos por ellas ningún trato de favor por parte de

Bien. Entonces algo ha cambiado en la editorial o en los

Está mezclando conceptos. La vulnerabilidad en sí no

formateo, sino el compromiso del sistema.

Correcto. Y hay que asumir que un sistema comprometido,

El dia 13, publiqué este articulo:
http://www.multingles.net/docs/rpc.htm
como resumen del anterior y complemento con el Blaster.

Creo que muchos sitios de informacion, incluidos

Es el uso de los caracteres %00 %01 lo que provoca que

Explorer no muestre la URL real en la barra de

sea enmascarada), SOLO aparece la URL falsa, por lo que

puede detectar a simple vista que se encuentra en otra

O sea... el usuario final, que nunca mira la barra

Por favor... cualquier dia sacais publicado que un PC que

Sin ánimo de entrar en ningún tipo de polémica, espero

sirva para aclarar algunas dudas y corregir ciertas

erróneas (a mi entender) publicadas en el foro.

Creo que, efectivamente es "a tu entender". De todas

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de

This posting is provided "AS IS" with no warranties, and

You assume all risk for your use.


"Bernardo Quintero" wrote in

Hash: SHA1

Saludos a los participantes del foro.

No conocía este foro, pero un lector de "una-al-dia" me

comentándome que había un "MVP" negando la evidencia de

vulnerabilidades de Internet Explorer y

Hispasec).

Jose Manuel Tella Llop escribió:
"Por otra parte, hispasec ha pasado de ser un centro de

serias, a ser simplemente un negocio periodistico que

noticias y los enfoques que le interesan."

En Hispasec no hay ningún periodista, y las notas

publicamos de forma gratuita no obtienen ningún tipo de

recibimos por ellas ningún trato de favor por parte de

Jopse Manuel Tella Llop escribió:
"¿que pasa con esta vulnerabilidad en los sitios de

Hispasec?... La recogen y "solo" dan tambien

como removerlo porque no les interesa meterse en

contra los consumidores. ¿es serio?... NO.
Unicamente en ciertas paginas serias (el CERN -maximo

seguridad mundial- y en ciertas paginas de Antivirus

VsAntivirus, aconsejan -recomiendan al maximo- el

Está mezclando conceptos. La vulnerabilidad en sí no

formateo, sino el compromiso del sistema.

Cuando una máquina que ha sido comprometida, de manera

por la vulnerabilidad utilizada (sea la del interfaz

otra), se suele recomendar el formateo de la misma, por

que puede entrañar para los no profesionales detectar

troyanizado el sistema.

Si el sistema es comprometido por un gusano de

del que se conoce exáctamente como trabaja y las

hace en el sistema (blaster y compañía), se puede

fácil, y no requiere el formateo (el ejemplo más común

un antivirus).

Siempre cabe la posibilidad de que además del gusano un

comprometido el sistema de forma personalizada, por eso

muy sensibles se recomienda el formateo.

Bajo ese nivel de paranoia (que puede ser recomendable,

complicado seguir en la práctica por usuarios de a

descubramos una nueva vulnerabilidad crítica para

habrá existido la posibilidad de que un atacante

aprovechado antes de que instaláramos el parche, y en

habría que formatear.

Como comprenderá, exigir ese nivel de seguridad a

puede resultar para algunos excesivo (entre los que me

Aunque me parece oportuno que se explique tal

recomiende el formateo del sistema para mayor

después de formatearlo, si debe descargar los parches

Internet estará de nuevo expuesto durante esa ventana

lo que para que la información fuera completa habría

también la configuración de seguridad que deben

despues de formatear, instalar el sistema límpio, y

conectarse a cualquier tipo de red.

JM Tella Llop escribió:
"voy a pasar a explayarme un poco y ver lo que es una

o bien algo predefinido en las RFC que definen todo el

del tcp/ip y que son "inviolables" o sino, no

red."
[...]
"http://:nombre_sitio_web:puerto
Esta es la sintaxis completa. Y hay que respetarla y

Vuelve a equivocarse. La nueva vulnerabilidad de

utilizada para la falsificación de URL es una variante

exclusivamente a Internet Explorer, y que ni por asomo

efecto que describe.

No se puede excusar en las RFC, porque no tiene nada

hecho, navegadores como Opera o Mozilla cumplen

RFC y con la sintaxis que usted describe, y sin embargo

la nueva variante de URL spoofing que está siendo

los usuarios de Internet Explorer (como en el reciente

Popular).

Y le aseguro que esos otros navegadores "funcionan" en

Es el uso de los caracteres %00 %01 lo que provoca que

Explorer no muestre la URL real en la barra de

sea enmascarada), SOLO aparece la URL falsa, por lo que

puede detectar a simple vista que se encuentra en otra

"comportamiento" no está descrito en ninguna RFC, ni es

para nada (a excepción de para ser aprovechado en

similares).

Si prueba alguno de los tests (en Hispasec tenemos

demostración), podrá comprobar como otros navegadores

completa, y en algunos casos, como Opera, hasta

de advertencia alertando al usuario e indicando la

que va a ser dirigido.

Sin ánimo de entrar en ningún tipo de polémica, espero

sirva para aclarar algunas dudas y corregir ciertas

erróneas (a mi entender) publicadas en el foro.

Saludos cordiales,

Bernardo Quintero

.