Hispasec -> sobre una de las vulnerabilidades de Internet Explorer

12/01/2004 - 04:16 por Bernardo Quintero | Informe spam

Hash: SHA1

Saludos a los participantes del foro.

No conocía este foro, pero un lector de "una-al-dia" me ha escrito
comentándome que había un "MVP" negando la evidencia de una de las
vulnerabilidades de Internet Explorer y descalificándonos (a
Hispasec).

Jose Manuel Tella Llop escribió:
"Por otra parte, hispasec ha pasado de ser un centro de noticias
serias, a ser simplemente un negocio periodistico que solo vuelca las
noticias y los enfoques que le interesan."

En Hispasec no hay ningún periodista, y las notas de "una-al-día" que
publicamos de forma gratuita no obtienen ningún tipo de ingreso, ni
recibimos por ellas ningún trato de favor por parte de terceros.

Jopse Manuel Tella Llop escribió:
"¿que pasa con esta vulnerabilidad en los sitios de noticias como
Hispasec?... La recogen y "solo" dan tambien informacion parcial de
como removerlo porque no les interesa meterse en camisas de 11 varas
contra los consumidores. ¿es serio?... NO.
Unicamente en ciertas paginas serias (el CERN -maximo organo de
seguridad mundial- y en ciertas paginas de Antivirus como
VsAntivirus, aconsejan -recomiendan al maximo- el formateo."

Está mezclando conceptos. La vulnerabilidad en sí no requiere el
formateo, sino el compromiso del sistema.

Cuando una máquina que ha sido comprometida, de manera independiente
por la vulnerabilidad utilizada (sea la del interfaz RPC, o cualquier
otra), se suele recomendar el formateo de la misma, por la dificultad
que puede entrañar para los no profesionales detectar si se ha
troyanizado el sistema.

Si el sistema es comprometido por un gusano de propagación masiva,
del que se conoce exáctamente como trabaja y las modificaciones que
hace en el sistema (blaster y compañía), se puede desactivar de forma
fácil, y no requiere el formateo (el ejemplo más común es el uso de
un antivirus).

Siempre cabe la posibilidad de que además del gusano un atacante haya
comprometido el sistema de forma personalizada, por eso en sistemas
muy sensibles se recomienda el formateo.

Bajo ese nivel de paranoia (que puede ser recomendable, pero que es
complicado seguir en la práctica por usuarios de a pie), cada vez que
descubramos una nueva vulnerabilidad crítica para nuestro sistema,
habrá existido la posibilidad de que un atacante externo la haya
aprovechado antes de que instaláramos el parche, y en consecuencia
habría que formatear.

Como comprenderá, exigir ese nivel de seguridad a usuarios de a pie
puede resultar para algunos excesivo (entre los que me encuentro).
Aunque me parece oportuno que se explique tal posibilidad, y que se
recomiende el formateo del sistema para mayor seguridad. Eso sí,
después de formatearlo, si debe descargar los parches de seguridad de
Internet estará de nuevo expuesto durante esa ventana de tiempo, por
lo que para que la información fuera completa habría que indicar
también la configuración de seguridad que deben establecer justo
despues de formatear, instalar el sistema límpio, y antes de
conectarse a cualquier tipo de red.

JM Tella Llop escribió:
"voy a pasar a explayarme un poco y ver lo que es una vulnerabilidad,
o bien algo predefinido en las RFC que definen todo el comportamiento
del tcp/ip y que son "inviolables" o sino, no funcionaría ninguna
red."
[...]
"http://usuario@password:nombre_sitio_web:puerto
Esta es la sintaxis completa. Y hay que respetarla y ejecutarla."

Vuelve a equivocarse. La nueva vulnerabilidad de Internet Explorer
utilizada para la falsificación de URL es una variante que afecta
exclusivamente a Internet Explorer, y que ni por asomo tiene el mismo
efecto que describe.

No se puede excusar en las RFC, porque no tiene nada que ver. De
hecho, navegadores como Opera o Mozilla cumplen perfectamente con la
RFC y con la sintaxis que usted describe, y sin embargo no les afecta
la nueva variante de URL spoofing que está siendo aprovechada contra
los usuarios de Internet Explorer (como en el reciente caso del Banco
Popular).

Y le aseguro que esos otros navegadores "funcionan" en red :)

Es el uso de los caracteres %00 %01 lo que provoca que Internet
Explorer no muestre la URL real en la barra de direcciones (aunque
sea enmascarada), SOLO aparece la URL falsa, por lo que el usuario no
puede detectar a simple vista que se encuentra en otra dirección. Ese
"comportamiento" no está descrito en ninguna RFC, ni es necesario
para nada (a excepción de para ser aprovechado en estafas y
similares).

Si prueba alguno de los tests (en Hispasec tenemos algunas páginas de
demostración), podrá comprobar como otros navegadores muestran la URL
completa, y en algunos casos, como Opera, hasta visualiza una ventana
de advertencia alertando al usuario e indicando la página real a la
que va a ser dirigido.

Sin ánimo de entrar en ningún tipo de polémica, espero que mi mensaje
sirva para aclarar algunas dudas y corregir ciertas afirmaciones
erróneas (a mi entender) publicadas en el foro.

Saludos cordiales,

Bernardo Quintero
bernardo@hispasec.com

Siga el debate

53 respuestas

Tengo una respuesta

Preguntas similare

Hispasec -> sobre una de las vulnerabilidades de Internet Explorer

Leer las respuestas

#26 Bernardo Quintero

12/01/2004 - 19:47 | Informe spam

Te animo a que lo hagas:
http://www.hispasec.com/directorio/...lsificacio

ndeurl.html

je... pues tengo el SP2 de XP y no es posible probarlo: simplemente no

funcionan. :-)

Estupendo, eso quiere decir que MS ha corregido LA VULNERABILIDAD en el SP2
:)

Es una buena noticia.

Saludos,
Bernardo Quintero

Responder a este mensaje

#27 Bernardo Quintero

12/01/2004 - 19:48 | Informe spam

Hola Raúl,

Gracias Sr Bernardo Quintero por las gentiles
explicaciones que usted ha hecho sobre el tema.

No nos eches muchos piropos que nos los creemos ;)

Gracias,
Bernardo

Responder a este mensaje

#28 Mecanicista

13/01/2004 - 09:47 | Informe spam

Hola a todos.
He seguido esta conversación con interés, un cierto placer y algo de
ludopatía (porque seguir los distintos hilos es como recorrer un laberinto
en el Doom ;-))
Creo, sin modestia alguna, que la clave de toda la discusión está aquí:
Bernardo Quintero (bienvenido; aunque no soy yo quién para recibir a nadie,
que soy un recién llegado) dijo:
"[JM Tella] Está mezclando conceptos. La vulnerabilidad en sí no requiere el
formateo, sino el compromiso del sistema."
(Por favor, releer el entrecomillado un par de veces antes de seguir.)
Pues suponiendo -y no todos lo suponemos- que se trate de una
vulnerabilidad, y no de un requisito de las RFC, lo que esa frase quiere
decir es:
1.- Si tienes IE (= 'vulnerabilidad', según Quintero), no tienes que
formatear (¡menos mal!).
2.- Si tienes blaster (= 'compromiso del sistema', según admitimos todos),
tienes que formatear.
Coño, claro.
Es decir: Bernardo, ni teniendo razón tienes razón. ;-)

P.D.: No sé a los demás. A mí, la máquina del trabajo me la trae floja. Me
preocupa mucho más la máquina de mi casa. Si mi/s jefe/s tienen problemas de
seguridad es SU problema. Si los tengo yo, es MI problema. O sea, que
blaster = formateo. Pero este es otro tema.

No busquéis más: la materia ES el milagro.

"Bernardo Quintero" escribió en el mensaje
news:btt3j5$cqv$
(...)

Jopse Manuel Tella Llop escribió:
"¿que pasa con esta vulnerabilidad en los sitios de noticias como
Hispasec?... La recogen y "solo" dan tambien informacion parcial de
como removerlo porque no les interesa meterse en camisas de 11 varas
contra los consumidores. ¿es serio?... NO.
Unicamente en ciertas paginas serias (el CERN -maximo organo de
seguridad mundial- y en ciertas paginas de Antivirus como
VsAntivirus, aconsejan -recomiendan al maximo- el formateo."

Está mezclando conceptos. La vulnerabilidad en sí no requiere el
formateo, sino el compromiso del sistema.

(...)

Responder a este mensaje

#29 SemiP

13/01/2004 - 11:54 | Informe spam

Pues yo creo que te has perdido por el laberinto del Doom y
no has leido el mensaje de JM Tella que habla de que en el
SP2 lo han corregido. Lo del IE.

Saludos.

SemiP
La informatica avanza y no es por marketing es por sobrevivir.
El enemigo no son los avances, es el cliente falto de ideas.

"Mecanicista" escribió en el mensaje news:

Hola a todos.
He seguido esta conversación con interés, un cierto placer y algo de
ludopatía (porque seguir los distintos hilos es como recorrer un laberinto
en el Doom ;-))
Creo, sin modestia alguna, que la clave de toda la discusión está aquí:
Bernardo Quintero (bienvenido; aunque no soy yo quién para recibir a nadie,
que soy un recién llegado) dijo:
"[JM Tella] Está mezclando conceptos. La vulnerabilidad en sí no requiere el
formateo, sino el compromiso del sistema."
(Por favor, releer el entrecomillado un par de veces antes de seguir.)
Pues suponiendo -y no todos lo suponemos- que se trate de una
vulnerabilidad, y no de un requisito de las RFC, lo que esa frase quiere
decir es:
1.- Si tienes IE (= 'vulnerabilidad', según Quintero), no tienes que
formatear (¡menos mal!).
2.- Si tienes blaster (= 'compromiso del sistema', según admitimos todos),
tienes que formatear.
Coño, claro.
Es decir: Bernardo, ni teniendo razón tienes razón. ;-)

P.D.: No sé a los demás. A mí, la máquina del trabajo me la trae floja. Me
preocupa mucho más la máquina de mi casa. Si mi/s jefe/s tienen problemas de
seguridad es SU problema. Si los tengo yo, es MI problema. O sea, que
blaster = formateo. Pero este es otro tema.

No busquéis más: la materia ES el milagro.

"Bernardo Quintero" escribió en el mensaje
news:btt3j5$cqv$
(...)
> Jopse Manuel Tella Llop escribió:
> "¿que pasa con esta vulnerabilidad en los sitios de noticias como
> Hispasec?... La recogen y "solo" dan tambien informacion parcial de
> como removerlo porque no les interesa meterse en camisas de 11 varas
> contra los consumidores. ¿es serio?... NO.
> Unicamente en ciertas paginas serias (el CERN -maximo organo de
> seguridad mundial- y en ciertas paginas de Antivirus como
> VsAntivirus, aconsejan -recomiendan al maximo- el formateo."
>
> Está mezclando conceptos. La vulnerabilidad en sí no requiere el
> formateo, sino el compromiso del sistema.
>
(...)

Responder a este mensaje

#30 Mecanicista

13/01/2004 - 12:17 | Informe spam

Hola. Dos preguntas:
¿Te releíste un par de veces el entrecomillado, como recomendé? Te lo vuelvo
a copiar.
¿Tienes el SP2? Si lo tienes, pásalo, coño. Que como hablamos de máquinas
reales y SOs reales, quiero estar en igualdad de condiciones.
Y una aclaración:
No soy muy jugador de videojuegos, lo mío es el póquer. Pero el Doom me lo
acabo borracho, ciego de ácido, sin ratón y con una mano. Apostar y callar.
;-)

No busquéis más: la materia ES el milagro.

"SemiP" escribió en el mensaje
news:bu0ip4$8l3dd$

Pues yo creo que te has perdido por el laberinto del Doom y
no has leido el mensaje de JM Tella que habla de que en el
SP2 lo han corregido. Lo del IE.

Saludos.

SemiP
La informatica avanza y no es por marketing es por sobrevivir.
El enemigo no son los avances, es el cliente falto de ideas.

"Mecanicista" escribió en el mensaje

news:

> Hola a todos.
> He seguido esta conversación con interés, un cierto placer y algo de
> ludopatía (porque seguir los distintos hilos es como recorrer un

laberinto

> en el Doom ;-))
> Creo, sin modestia alguna, que la clave de toda la discusión está aquí:
> Bernardo Quintero (bienvenido; aunque no soy yo quién para recibir a

nadie,

> que soy un recién llegado) dijo:
> "[JM Tella] Está mezclando conceptos. La vulnerabilidad en sí no

requiere el

> formateo, sino el compromiso del sistema."
> (Por favor, releer el entrecomillado un par de veces antes de seguir.)
> Pues suponiendo -y no todos lo suponemos- que se trate de una
> vulnerabilidad, y no de un requisito de las RFC, lo que esa frase quiere
> decir es:
> 1.- Si tienes IE (= 'vulnerabilidad', según Quintero), no tienes que
> formatear (¡menos mal!).
> 2.- Si tienes blaster (= 'compromiso del sistema', según admitimos

todos),

> tienes que formatear.
> Coño, claro.
> Es decir: Bernardo, ni teniendo razón tienes razón. ;-)
>
> P.D.: No sé a los demás. A mí, la máquina del trabajo me la trae floja.