|
VSantivirus No. 1252 Año 8, Jueves 11 de diciembre de 2003
Una nueva forma de usar una vieja falla
http://www.vsantivirus.com/vul-arroba2.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
Se ha publicado recientemente un "exploit", que saca provecho de una vulnerabilidad que no es nueva, a pesar de lo que mencionan sus descubridores.
La falla permite engañar al usuario del Internet Explorer, para hacerle creer que está en un sitio diferente, luego de seguir un enlace malicioso.
La diferencia con la vieja vulnerabilidad, es que se apela a un código de HTML dinámico (o DHTML), para incluir (por ejemplo), en un parámetro
"button onclick = location.href = (URL)", los códigos %01, que ocultan la verdadera dirección, formada detrás de una arroba (esto se explica en el artículo que hacemos referencia al final).
Por ejemplo, una dirección como "http:/direccion_falsa%01@direccion_verdadera", llevaría al usuario a la
"direccion_verdadera", pero mostraría en la barra de direcciones la "http:/direccion_falsa".
El peligro está en que se puede hacer creer a un usuario que se encuentra en la página correcta para ingresar los datos de su tarjeta de crédito (o cualquier otra información sensible), cuando estaría en una dirección controlada por un pirata.
Esto solo funciona si se tienen habilitados los ActiveX. De lo contrario, la barra de direcciones del Internet Explorer mostrará la dirección completa:
http:/direccion_falsa%01@direccion_verdadera
Por esta razón aconsejamos configurar el Internet Explorer con las opciones que explicamos en el artículo "Navegando más seguros y sin molestos Pop-Ups con el IE"
http://www.vsantivirus.com/faq-sitios-confianza.htm, que permite deshabilitar ActiveX, y poder seguir navegando con ellos solo en sitios de confianza.
Por supuesto, además siempre debemos desconfiar de cualquier URL que contenga una arroba como parte del nombre.
Justamente, la "vieja vulnerabilidad" respecto al uso de una arroba para engañar al usuario al mostrar un enlace falso, está extensamente explicada en el siguiente artículo de Gonzalo Álvarez Marañón (Criptonomicon), que publicamos en octubre de 2001 (VSantivirus 458).
¿@ en un URL? Algo me huele mal
http://www.vsantivirus.com/gm-arroba-url.htm
Referencias:
Otra falla no corregida en Internet Explorer
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=354
Glosario:
EXPLOIT - Programa o método concreto que saca provecho de una falla o agujero de seguridad de una aplicación o sistema, generalmente para un uso malicioso de dicha vulnerabilidad.
DHTML (Dynamic Hyper Text Markup Languaje). Conjunto de nuevos rótulos (TAGS) y opciones para HTML desarrollado por Microsoft, que permiten dar contenido dinámico a las páginas Web.
URL (Uniform Resources Locator o Localizador Uniforme de Recursos) - Básicamente solemos referirnos a cualquier dirección de Internet. En realidad se trata de una estandarización de recursos que permite encontrar estas direcciones. Dicho de otra manera, se trata de un "apuntador" a la ubicación de cualquier archivo, directorio o equipo, como por ejemplo una página HTML. La dirección URL también especifica el protocolo de Internet apropiado, como HTTP o FTP.
ActiveX - Engloba diversas tecnologías de Microsoft usadas para crear contenido interactivo, independientemente del lenguaje. Los componentes ActiveX se pueden controlar mediante un lenguaje de secuencias de comandos como Visual Basic Scripting (VBScript) o JavaScript (JScript). Todos los subprogramas Java, al ejecutarse en la máquina virtual para Java, son automáticamente componentes ActiveX y utilizan la extensión .CLASS. Los componentes ActiveX que se ejecutan dentro del proceso de la aplicación son .OCX o .DLL, mientras que los que se ejecutan fuera son .EXE.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|