|
VSantivirus No. 1293 Año 8, miércoles 21 de enero de 2004
Nuevas vulnerabilidades en Internet Explorer
http://www.vsantivirus.com/rzw-21-01-04.htm
Este artículo proviene de Rynho Zeros Web
http://www.rzw.com.ar
[Ver Nota VSA al final del artículo]
Estas fallas permiten la ejecución de código arbitrario, CROSS SITE SCRIPTING (XSS), creación de <IFRAMES> y ejecución de POP-UPS sin límites (el único limite es la memoria del PC). Todo esto podría llevar a un colapso del Internet Explorer y/o del Outlook Express y hasta del sistema en sí; o sea una denegación de servicio (DoS, sigla en ingles de "Denial Of Service").
Fallo en el sistema de filtrado
(Internet Explorer y Outlook Express 6.00.2600 totalmente parchados)
Microsoft ha insertado un sistema de filtración dentro del Internet Explorer. Este sistema verifica que sólo los datos seguros, válidos y apropiados (en sintaxis) sean pasados a aplicaciones externas.
El sistema de filtrado salta algunos chequeos importantes tales como el protocolo "MAILTO:". Sin esta filtración, el Internet Explorer permite que datos inválidos sean enviados al cliente de correo por defecto.
Ejemplo:
mailto:[una dirección extremadamente larga]
Esto provoca el mensaje de error "No se pudo llevar a cabo la operación porque el cliente de correo predeterminado no está correctamente instalado".
Este sistema también filtra enlaces del Outlook, tales como los protocolos NNTP y SNTP. No obstante el agujero de seguridad aparece cuando un atacante utiliza el protocolo SNEWS, que no tiene ningún filtrado.
nntp://aaaaaa.com/aaaaa
Filtrado activo! - Resultado: mensaje de error.
sntp://aaaaaaaaaaaaaaa
Filtrado activo! - Resultado: mensaje de error.
snews://aaaaaaaaaaaaa
Filtrado *INACTIVO!* - Resultado: activación de Outlook e inyección de server en Outlook [Nota 1].
Este agujero de seguridad le permite a cualquier sitio o página, abrir el Outlook Express e inyectar cualquier cosa como si fuese un servidor de noticias válido. Esto puede ser algo preocupante si alguien hace un bucle repetitivo que inyecte una cantidad enorme de servidores falsos de SNEWS. Ésta dirección seguirá escrita en la base de datos de los servidores de noticias de Outlook Express y puede causar cuelgues o la pérdida de recursos del sistema.
La manera más simple de explotar este fallo es por XSS (Cross Site Scripting).
Esto también crea un desbordamiento de búfer dentro de Outlook Express en el offset 0x00dc735, que cierra el programa, hace más lento al sistema, y puede incluso colgarlo por falta de memoria.
Este desbordamiento de búfer en Outlook Express es ALTAMENTE PELIGROSO, y puede causar ejecuciones remotas de código arbitrario.
Solución temporal para este problema:
La primera vez que Outlook Express es ejecutado por una URL del tipo "snews://aaaaaaaaaaaa", éste pregunta al usuario si él quiere que Outlook sea el cliente de noticias predeterminado. Eligiendo NO puede solucionar el problema por
ahora [Nota 2].
El Internet Explorer abre automáticamente el dialogo de descarga cuando el mismo archivo con una extensión "css" existe en esa carpeta.
Por ejemplo:
http://<host>/styles
Esto provocará la apertura del diálogo de descarga del Internet Explorer, que intenta descargar el archivo "styles".
NOTA: Esto sucederá solamente si un archivo nombrado "styles.css" está situado en esa carpeta.
Un exploit puede ejecutar FrontPage, y comenzar a enviar los ".css" a él. Para cada descarga de archivos abrirá dos ventanas de diálogo, la primera es la ventana de descarga, y la segunda, el mensaje de error "No se puede hallar ...", que revela/enumera la ruta de todo el archivo temporal de Internet.
Esto sobrecargará rápidamente la memoria del FrontPage y abrirá luego los archivos ".css" en el bloc de notas. Y después de que sobrecargue la memoria del bloc de notas, intentará abrir los archivos en el dialogo "Abrir con...", que es ejecutado por "rundll32.exe". A éste punto, "rundll32.exe" alcanzará el desbordamiento de memoria y mostrará un mensaje por cada intento de descarga, lo que podría llevar al colapso del sistema.
Nota 1 de Xyborg:
Esto último se debe a que al abrirse el Outlook da un mensaje de advertencia diciendo que no se está suscrito a ningún grupo de noticias, y nos pregunta si queremos ver una lista, la cuál, si aceptamos, intentará buscar en el servidor inyectado.
También he descubierto que si en la URL se coloca una barra al final, no solo se inyecta un nuevo servidor sino también un grupo de noticias.
snews://servidor/grupo_de_noticias
Nota 2 de Xyborg:
Este mensaje es mostrado cuando se intenta acceder por primera vez a un servidor de noticias, ya sea falso o verdadero.
|
[El artículo completo, en http://www.rzw.com.ar/article1213.html, Múltiples Vulnerabilidades en Internet Explorer]
Créditos: Rafel Ivgi, The-Insider.
http://theinsider.deep-ice.com
Traducción: Martín [Xyborg] Aberastegue
http://www.rzw.com.ar
Nota VSA: Luego de publicado este artículo, Thor Larholm, Senior Security Researcher de
PivX Solutions, explicó en la misma lista de seguridad donde se revelaron estas vulnerabilidades, que las mismas
no son tales. Según Larholm "solo son formas de generar un agotamiento de recursos usando el Internet
Explorer, como así también una anormalidad en el servidor Apache y un desbordamiento de búfer (buffer overflow)
en el Outlook Express. Lo último es definitivamente interesante y explotable pero los primeros ítems no son
agujeros de seguridad".
Más información:
Vulnerabilidades del IE que no son tales
http://www.vsantivirus.com/22-01-04.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|