Hispasec -> sobre una de las vulnerabilidades de Internet Explorer

12/01/2004 - 04:16 por Bernardo Quintero | Informe spam

Hash: SHA1

Saludos a los participantes del foro.

No conocía este foro, pero un lector de "una-al-dia" me ha escrito
comentándome que había un "MVP" negando la evidencia de una de las
vulnerabilidades de Internet Explorer y descalificándonos (a
Hispasec).

Jose Manuel Tella Llop escribió:
"Por otra parte, hispasec ha pasado de ser un centro de noticias
serias, a ser simplemente un negocio periodistico que solo vuelca las
noticias y los enfoques que le interesan."

En Hispasec no hay ningún periodista, y las notas de "una-al-día" que
publicamos de forma gratuita no obtienen ningún tipo de ingreso, ni
recibimos por ellas ningún trato de favor por parte de terceros.

Jopse Manuel Tella Llop escribió:
"¿que pasa con esta vulnerabilidad en los sitios de noticias como
Hispasec?... La recogen y "solo" dan tambien informacion parcial de
como removerlo porque no les interesa meterse en camisas de 11 varas
contra los consumidores. ¿es serio?... NO.
Unicamente en ciertas paginas serias (el CERN -maximo organo de
seguridad mundial- y en ciertas paginas de Antivirus como
VsAntivirus, aconsejan -recomiendan al maximo- el formateo."

Está mezclando conceptos. La vulnerabilidad en sí no requiere el
formateo, sino el compromiso del sistema.

Cuando una máquina que ha sido comprometida, de manera independiente
por la vulnerabilidad utilizada (sea la del interfaz RPC, o cualquier
otra), se suele recomendar el formateo de la misma, por la dificultad
que puede entrañar para los no profesionales detectar si se ha
troyanizado el sistema.

Si el sistema es comprometido por un gusano de propagación masiva,
del que se conoce exáctamente como trabaja y las modificaciones que
hace en el sistema (blaster y compañía), se puede desactivar de forma
fácil, y no requiere el formateo (el ejemplo más común es el uso de
un antivirus).

Siempre cabe la posibilidad de que además del gusano un atacante haya
comprometido el sistema de forma personalizada, por eso en sistemas
muy sensibles se recomienda el formateo.

Bajo ese nivel de paranoia (que puede ser recomendable, pero que es
complicado seguir en la práctica por usuarios de a pie), cada vez que
descubramos una nueva vulnerabilidad crítica para nuestro sistema,
habrá existido la posibilidad de que un atacante externo la haya
aprovechado antes de que instaláramos el parche, y en consecuencia
habría que formatear.

Como comprenderá, exigir ese nivel de seguridad a usuarios de a pie
puede resultar para algunos excesivo (entre los que me encuentro).
Aunque me parece oportuno que se explique tal posibilidad, y que se
recomiende el formateo del sistema para mayor seguridad. Eso sí,
después de formatearlo, si debe descargar los parches de seguridad de
Internet estará de nuevo expuesto durante esa ventana de tiempo, por
lo que para que la información fuera completa habría que indicar
también la configuración de seguridad que deben establecer justo
despues de formatear, instalar el sistema límpio, y antes de
conectarse a cualquier tipo de red.

JM Tella Llop escribió:
"voy a pasar a explayarme un poco y ver lo que es una vulnerabilidad,
o bien algo predefinido en las RFC que definen todo el comportamiento
del tcp/ip y que son "inviolables" o sino, no funcionaría ninguna
red."
[...]
"http://usuario@password:nombre_sitio_web:puerto
Esta es la sintaxis completa. Y hay que respetarla y ejecutarla."

Vuelve a equivocarse. La nueva vulnerabilidad de Internet Explorer
utilizada para la falsificación de URL es una variante que afecta
exclusivamente a Internet Explorer, y que ni por asomo tiene el mismo
efecto que describe.

No se puede excusar en las RFC, porque no tiene nada que ver. De
hecho, navegadores como Opera o Mozilla cumplen perfectamente con la
RFC y con la sintaxis que usted describe, y sin embargo no les afecta
la nueva variante de URL spoofing que está siendo aprovechada contra
los usuarios de Internet Explorer (como en el reciente caso del Banco
Popular).

Y le aseguro que esos otros navegadores "funcionan" en red :)

Es el uso de los caracteres %00 %01 lo que provoca que Internet
Explorer no muestre la URL real en la barra de direcciones (aunque
sea enmascarada), SOLO aparece la URL falsa, por lo que el usuario no
puede detectar a simple vista que se encuentra en otra dirección. Ese
"comportamiento" no está descrito en ninguna RFC, ni es necesario
para nada (a excepción de para ser aprovechado en estafas y
similares).

Si prueba alguno de los tests (en Hispasec tenemos algunas páginas de
demostración), podrá comprobar como otros navegadores muestran la URL
completa, y en algunos casos, como Opera, hasta visualiza una ventana
de advertencia alertando al usuario e indicando la página real a la
que va a ser dirigido.

Sin ánimo de entrar en ningún tipo de polémica, espero que mi mensaje
sirva para aclarar algunas dudas y corregir ciertas afirmaciones
erróneas (a mi entender) publicadas en el foro.

Saludos cordiales,

Bernardo Quintero
bernardo@hispasec.com

Siga el debate

53 respuestas

Tengo una respuesta

Preguntas similare

Hispasec -> sobre una de las vulnerabilidades de Internet Explorer

Leer las respuestas

#31 JM Tella Llop [MVP Windows] ·

13/01/2004 - 13:17 | Informe spam

Han corregido lo que es la "presentacion" de la URL.
Insisto, que NO lo considero vulnerabilidad.

¿el timo de la estampita lo és?. es lo mismo: usan algo para "timarte" (incautos hay en todos los sitios, y parece que aunque en la vida real, la gente ha espabilado no aplica lo mismo a la virtual -internet-. Y es exactamente igual... o peor: simplemente porque hay mas gente con mas imaginacion para intentar "timar").

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

"SemiP" wrote in message news:bu0ip4$8l3dd$

Pues yo creo que te has perdido por el laberinto del Doom y
no has leido el mensaje de JM Tella que habla de que en el
SP2 lo han corregido. Lo del IE.

Saludos.

SemiP
La informatica avanza y no es por marketing es por sobrevivir.
El enemigo no son los avances, es el cliente falto de ideas.

"Mecanicista" escribió en el mensaje news:

Hola a todos.
He seguido esta conversación con interés, un cierto placer y algo de
ludopatía (porque seguir los distintos hilos es como recorrer un laberinto
en el Doom ;-))
Creo, sin modestia alguna, que la clave de toda la discusión está aquí:
Bernardo Quintero (bienvenido; aunque no soy yo quién para recibir a nadie,
que soy un recién llegado) dijo:
"[JM Tella] Está mezclando conceptos. La vulnerabilidad en sí no requiere el
formateo, sino el compromiso del sistema."
(Por favor, releer el entrecomillado un par de veces antes de seguir.)
Pues suponiendo -y no todos lo suponemos- que se trate de una
vulnerabilidad, y no de un requisito de las RFC, lo que esa frase quiere
decir es:
1.- Si tienes IE (= 'vulnerabilidad', según Quintero), no tienes que
formatear (¡menos mal!).
2.- Si tienes blaster (= 'compromiso del sistema', según admitimos todos),
tienes que formatear.
Coño, claro.
Es decir: Bernardo, ni teniendo razón tienes razón. ;-)

P.D.: No sé a los demás. A mí, la máquina del trabajo me la trae floja. Me
preocupa mucho más la máquina de mi casa. Si mi/s jefe/s tienen problemas de
seguridad es SU problema. Si los tengo yo, es MI problema. O sea, que
blaster = formateo. Pero este es otro tema.

No busquéis más: la materia ES el milagro.

"Bernardo Quintero" escribió en el mensaje
news:btt3j5$cqv$
(...)
> Jopse Manuel Tella Llop escribió:
> "¿que pasa con esta vulnerabilidad en los sitios de noticias como
> Hispasec?... La recogen y "solo" dan tambien informacion parcial de
> como removerlo porque no les interesa meterse en camisas de 11 varas
> contra los consumidores. ¿es serio?... NO.
> Unicamente en ciertas paginas serias (el CERN -maximo organo de
> seguridad mundial- y en ciertas paginas de Antivirus como
> VsAntivirus, aconsejan -recomiendan al maximo- el formateo."
>
> Está mezclando conceptos. La vulnerabilidad en sí no requiere el
> formateo, sino el compromiso del sistema.
>
(...)

Responder a este mensaje

#32 SemiP

13/01/2004 - 13:50 | Informe spam

Pero en informatica lo que no esta programado, no fuciona.
Y si se ha permitido hasta ahora que mediante unos caracteres se pueda ocultar la verdadera direccion
¿A eso como se le llama? fabricar una puerta falsa, como lo que se hacia en unix, que creaban un programa
que presentaba lo de login y password para conseguir las claves. No soy experto en seguridad pero
eso o es una vulnerabilidad o es una putada :-)

Lo que se tendria que hacer es a ese tipo de paginas falsas llenarlas de basura con nombres de usuarios y contraseñas falsas.
Y luego que se pongan a buscar cuales son los verderos y cuales los falsos.

Saludos.

SemiP
La informatica avanza y no es por marketing es por sobrevivir.
El enemigo no son los avances, es el cliente falto de ideas.

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje news:uP3$
Han corregido lo que es la "presentacion" de la URL.
Insisto, que NO lo considero vulnerabilidad.

¿el timo de la estampita lo és?. es lo mismo: usan algo para "timarte" (incautos hay en todos los sitios, y parece que aunque en
la vida real, la gente ha espabilado no aplica lo mismo a la virtual -internet-. Y es exactamente igual... o peor: simplemente
porque hay mas gente con mas imaginacion para intentar "timar").

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

"SemiP" wrote in message news:bu0ip4$8l3dd$

Pues yo creo que te has perdido por el laberinto del Doom y
no has leido el mensaje de JM Tella que habla de que en el
SP2 lo han corregido. Lo del IE.

Saludos.

SemiP
La informatica avanza y no es por marketing es por sobrevivir.
El enemigo no son los avances, es el cliente falto de ideas.

"Mecanicista" escribió en el mensaje news:

Hola a todos.
He seguido esta conversación con interés, un cierto placer y algo de
ludopatía (porque seguir los distintos hilos es como recorrer un laberinto
en el Doom ;-))
Creo, sin modestia alguna, que la clave de toda la discusión está aquí:
Bernardo Quintero (bienvenido; aunque no soy yo quién para recibir a nadie,
que soy un recién llegado) dijo:
"[JM Tella] Está mezclando conceptos. La vulnerabilidad en sí no requiere el
formateo, sino el compromiso del sistema."
(Por favor, releer el entrecomillado un par de veces antes de seguir.)
Pues suponiendo -y no todos lo suponemos- que se trate de una
vulnerabilidad, y no de un requisito de las RFC, lo que esa frase quiere
decir es:
1.- Si tienes IE (= 'vulnerabilidad', según Quintero), no tienes que
formatear (¡menos mal!).
2.- Si tienes blaster (= 'compromiso del sistema', según admitimos todos),
tienes que formatear.
Coño, claro.
Es decir: Bernardo, ni teniendo razón tienes razón. ;-)

P.D.: No sé a los demás. A mí, la máquina del trabajo me la trae floja. Me
preocupa mucho más la máquina de mi casa. Si mi/s jefe/s tienen problemas de
seguridad es SU problema. Si los tengo yo, es MI problema. O sea, que
blaster = formateo. Pero este es otro tema.

No busquéis más: la materia ES el milagro.

"Bernardo Quintero" escribió en el mensaje
news:btt3j5$cqv$
(...)
> Jopse Manuel Tella Llop escribió:
> "¿que pasa con esta vulnerabilidad en los sitios de noticias como
> Hispasec?... La recogen y "solo" dan tambien informacion parcial de
> como removerlo porque no les interesa meterse en camisas de 11 varas
> contra los consumidores. ¿es serio?... NO.
> Unicamente en ciertas paginas serias (el CERN -maximo organo de
> seguridad mundial- y en ciertas paginas de Antivirus como
> VsAntivirus, aconsejan -recomiendan al maximo- el formateo."
>
> Está mezclando conceptos. La vulnerabilidad en sí no requiere el
> formateo, sino el compromiso del sistema.
>
(...)

Responder a este mensaje

#33 Carlitos

13/01/2004 - 14:01 | Informe spam

Sr JM Tella

Pero si Microsoft en su SP2, arreglo ese problema
Entonces... Se considera que Microsoft la trato como una
vulnerabilidad o falla en su sistema o ¿no?

Han corregido lo que es la "presentacion" de la URL.
Insisto, que NO lo considero vulnerabilidad.

¿el timo de la estampita lo és?. es lo mismo: usan

algo para "timarte" (incautos hay en todos los sitios, y
parece que aunque en la vida real, la gente ha
espabilado no aplica lo mismo a la virtual -internet-
. Y es exactamente igual... o peor: simplemente porque
hay mas gente con mas imaginacion para intentar "timar").

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.

Responder a este mensaje

#34 JM Tella Llop [MVP Windows] ·

13/01/2004 - 14:10 | Informe spam

Param i, insisto, no es vulnerabilidad: es simplemente un problema de presentacion. Microsoft lo que ha modificado en el SP2, -aparte de otros temas- es el IE, el cual incluye caracteristicas totalmente nuevas y desconocidas hasta ahora (como anti-popus por ejemplo). Ha corregido tambien la presentacion de url's (en más sentidos que solo en el que citabamos de presentacion).

Insisto: ni es una vulnerabilidad: es un timo que "alguna" pagina maliciosa puede hacerse. Pero para que auno le timen.. tiene que ser un incauto (tambien es verdad... que de todo hay en la viña del Señor...)

¿a ti te meterían el timo de la estampita?. Esto es lo mismo. (y hay centenares de maneras por las cuales puedan timarte en internet y ningun es una vulnerabilidad, sino simplemente gente que se cree todo ¿en la vida real te crees todo? mas bien somo desconfiados y no nos creemos nada. En internet debe ser lo mismo.).

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

"Carlitos" wrote in message news:53d901c3d9d5$60e3d030$
Sr JM Tella

Pero si Microsoft en su SP2, arreglo ese problema
Entonces... Se considera que Microsoft la trato como una
vulnerabilidad o falla en su sistema o ¿no?

Han corregido lo que es la "presentacion" de la URL.
Insisto, que NO lo considero vulnerabilidad.

¿el timo de la estampita lo és?. es lo mismo: usan

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and

confers no rights.

You assume all risk for your use.

Responder a este mensaje

#35 SemiP

13/01/2004 - 14:28 | Informe spam

Segun eso un billete impreso con tinta normal en un folio normal no seria una vulnerabilidad del billete.

Si estas permitiento falsificaciones el sistema es vulnerable. Digo.

Saludos.

SemiP
La informatica avanza y no es por marketing es por sobrevivir.
El enemigo no son los avances, es el cliente falto de ideas.

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje news:
Param i, insisto, no es vulnerabilidad: es simplemente un problema de presentacion. Microsoft lo que ha modificado en el
SP2, -aparte de otros temas- es el IE, el cual incluye caracteristicas totalmente nuevas y desconocidas hasta ahora (como anti-popus
por ejemplo). Ha corregido tambien la presentacion de url's (en más sentidos que solo en el que citabamos de presentacion).

Insisto: ni es una vulnerabilidad: es un timo que "alguna" pagina maliciosa puede hacerse. Pero para que auno le timen.. tiene
que ser un incauto (tambien es verdad... que de todo hay en la viña del Señor...)

¿a ti te meterían el timo de la estampita?. Esto es lo mismo. (y hay centenares de maneras por las cuales puedan timarte en
internet y ningun es una vulnerabilidad, sino simplemente gente que se cree todo ¿en la vida real te crees todo? mas bien
somo desconfiados y no nos creemos nada. En internet debe ser lo mismo.).

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

"Carlitos" wrote in message news:53d901c3d9d5$60e3d030$
Sr JM Tella

Pero si Microsoft en su SP2, arreglo ese problema
Entonces... Se considera que Microsoft la trato como una
vulnerabilidad o falla en su sistema o ¿no?