Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Virus en cookies y otros formatos. Nunca digas nunca...
|
|
VSantivirus No. 636 - Año 6 - Jueves 4 de abril de 2002
Virus en cookies y otros formatos. Nunca digas nunca...
http://www.vsantivirus.com/04-04-02.htm
Hace unos días, publicábamos un artículo (ver Información relacionada) de Fernando de la Cuadra, editor técnico de Panda Software, sobre las cookies, el cuál recomendamos
ampliamente, porque hay mucho conceptos interesantes en él.
Pero si algo hemos aprendido en los años que llevamos en esto, ello es que jamás debemos mencionar la palabra "imposible". Durante años nuestra prédica había sido que un mensaje de correo electrónico no podría infectarnos con solo leerlo, y que era necesario abrir el adjunto para que ello ocurriera. La aparición del BubbleBoy echó por tierra esa afirmación,
tal como lo demuestran hoy día verdaderas pesadillas como el
Klez.E y otros, que han infectado miles de computadoras en todo el mundo, por el simple acto de ver el mensaje (al leerlo, o en el panel de vista previa).
De la Cuadra enfatizaba el hecho de la imposibilidad de virus en las cookies: "mucha gente teme que en la cookie venga almacenado un virus o sirva para que nos roben información. Eso es completamente erróneo, ya que una cookie nunca podrá almacenar código ejecutable...".
Pero ello no es tan así, como lo explica Bernardo Quintero de Hispasec (a quien agradecemos el permitirnos publicar en VSAntivirus su artículo).
Es interesante lo que explica Quintero, pero no para desmentir lo que dice De la Cuadra, que bien explicado está, sino para entender que en definitiva, la seguridad es un estado de nuestra mente. Es decir para estar seguros, debemos estar informados, y fundamentalmente, no debemos cerrarnos a preconceptos que en un momento determinado, puedan haber significado la más lógica de las verdades. Hasta que alguien descubre con los hechos, que los límites solo están en nuestra capacidad de desarrollarnos e investigar,
usando esto tanto para el bien como para el mal.
Por ello insistimos en el concepto que es el sello de VSAntivirus: saber que cosa es o no posible, será siempre nuestra mejor arma cuando nos enfrentemos a la amenaza de un virus, en nuestro PC.
En este artículo, publicado en el boletín "Una-al-día" de Hispasec, vemos como otro mito deja de serlo, y nos informaremos de cuánto hay de posible de que un virus en las cookies se convierta en un nuevo tipo de amenaza.
Jose Luis Lopez
videosoft@videosoft.net.uy
Virus en cookies y otros formatos
Por Bernardo Quintero
bernardo@hispasec.com
Artículo publicado originalmente en
http://www.hispasec.com/
La última vulnerabilidad de Internet Explorer, "Cookie-based Script Execution", facilita el diseño de virus y gusanos que utilicen las cookies como vehículo de propagación y ejecución automática. En realidad, cualquier formato de archivo es susceptible de albergar un virus.
Hace apenas unas semanas, un editor técnico de una conocida compañía antivirus publicaba un artículo en el que declaraba: "Sin embargo, mucha gente teme que en la cookie venga almacenado un virus o sirva para que nos roben información. Eso es completamente erróneo, ya que una cookie nunca podrá almacenar código ejecutable, que es lo que necesita un virus para poder llevar a cabo sus acciones. E incluso en el remoto caso de que un virus tratara de ocultarse en una cookie, nunca habría ningún proceso que pudiera ponerlo en funcionamiento, ya que, al no estar pensadas para eso, a ningún programador se le pasaría por la cabeza intentar lanzar la ejecución del código de la cookie."
Nunca digas nunca jamás. La propia Microsoft describe en su último boletín de seguridad como una vulnerabilidad de su navegador permite, además de almacenar código en una cookie (algo que ya era posible antes), forzar la ejecución automática del script en la zona local del sistema del usuario que visita el web.
Las cookies no son las únicas afectadas, hemos podido ver casos similares de formatos de archivo que a priori son seguros y que sin embargo podían ser utilizados para ejecutar código arbitrario aprovechando vulnerabilidades en las aplicaciones encargadas de interpretarlos (Real Audio, ASF, MP3, Flash, etc.), en muchas ocasiones explotando desbordamientos de buffer. El peligro en estos casos concretos radica en la posibilidad de forzar la ejecución de código arbitrario de forma automática, ya que el almacenar código ejecutable bajo cualquier extensión de archivo siempre es posible.
Por ejemplo, hace tres años, durante los tests de la comparativa antivirus 1999 de Hispasec, pude comprobar la efectividad de algunos motores antivirus para detectar los virus scripts para IRC. Las heurísticas y detecciones genéricas funcionaban ya que son especímenes básicos donde es fácil identificar el código utilizado para propagarse, en la mayoría de los casos realizando un DCC del archivo infectado a los usuarios que entran en el canal de la víctima.
Como prueba de concepto, para su utilización exclusiva en el laboratorio y de cara a analizar la efectividad de las soluciones ante nuevas formas, diseñé varios especímenes con la idea de burlar a los antivirus. Uno de ellos consistía precisamente en utilizar un formato de archivo no considerado peligroso por los antivirus donde almacenaría en él la mayor parte del código. De esta forma, un archivo .TXT hospedaba la mayor parte del virus/gusano, mientras que en el script.ini sólo incluía el código necesario para leer en memoria los comandos del virus que había almacenado en el .TXT.
El virus resultaba operativo, era capaz de reproducirse a nuevos usuarios enviando ambos archivos, sin embargo ningún antivirus logró detectar por defecto el virus, ya que no analizan los archivos con extensión .TXT.
En definitiva, aunque algunos formatos son más propensos a ser utilizados por los virus por su facilidad de ejecución, no debemos olvidar que cualquier formato puede contener código malicioso, bien a la espera de que otro proceso lo lea e interprete, o provocando la ejecución directa y automática tras explotar alguna vulnerabilidad concreta. Por todo lo anterior, y como consejo final, no está de más que de forma regular realicemos análisis a demanda de todo el sistema, configurando previamente nuestros antivirus para que analicen todas las extensiones de archivo.
Bernardo Quintero
bernardo@hispasec.com
(*) Publicado en VSAntivirus con autorización de Hispasec
(www.hispasec.com)
Información relacionada
VSantivirus No. 620 - 19/mar/02
Las cookies: no es tan fiero el león...
http://www.vsantivirus.com/art-cookies.htm
VSantivirus No. 630 - 29/mar/02
Parche crítico acumulativo para IE (MS02-015)
http://www.vsantivirus.com/vulms02-015.htm
VSantivirus No. 589 - 16/feb/02
Llegan los virus invisibles al Outlook Express
http://www.vsantivirus.com/16-02-02.htm
VSantivirus No. 609 - 8/mar/02
RealPlayer permite acceso clandestino a nuestros archivos
http://www.vsantivirus.com/vul-realplayer2.htm
VSantivirus No. 603 - 2/mar/02
Ejecución de comandos sin Active Scripting ni ActiveX
http://www.vsantivirus.com/vul-innerhtm.htm
VSantivirus No. 550 - 9/ene/02
SWF/LFM.926. El primer virus de Shockwave del mundo
http://www.vsantivirus.com/lfm-926.htm
VSantivirus No. 500 - 20/nov/01
Falla crítica en archivos .ASF de Windows Media Player
http://www.vsantivirus.com/vulms01-056.htm
VSantivirus No. 573 - 31/ene/02
¿Más vulnerables frente a los virus con Windows XP?
http://www.vsantivirus.com/31-01-02a.htm
VSantivirus No. 396 - 8/ago/01
Ya son una realidad los virus en archivos PDF
http://www.vsantivirus.com/08-08-01.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|