|
VSantivirus No. 1264 Año 8, martes 23 de diciembre de 2003
Eludiendo alerta de seguridad en descarga de archivos
http://www.vsantivirus.com/vul-descarga.htm
Por Angela Ruiz
angela@videosoft.net.uy
Dos fallos que permiten saltearse la comprobación de alerta de seguridad en la descarga de archivos con el Internet Explorer, acaban de ser publicadas por el sitio español
www.infohacking.com.
En el informe, se advierte que Microsoft ha sido notificado previamente, y al no haber respondido al momento actual, se hace público el fallo.
Normalmente, cada vez que se intenta descargar un archivo de Internet que pudiera llegar a ejecutarse de algún modo, el Explorer anuncia en el diálogo de descarga, que dicho tipo de archivo "puede dañar su equipo si es que contiene código malicioso". Esto incluye archivos con extensiones .EXE, .COM, .BAT, etc., así como alguna clase de script.
Sin embargo, si se disfraza el enlace como si se tratara de una petición CGI (donde se utiliza el carácter "?" para indicar que lo que sigue es un parámetro), por ejemplo:
http:/ /servidor/archivo.exe?.html
Entonces el IE se confunde, y piensa que se trata de un archivo .HTML, al mismo tiempo que la extensión .EXE no es mostrada:
archivo.html
Si se agrega un código %00 de final de cadena, se oculta además la extensión .HTML:
archivo
Esto puede combinarse con archivos de extensión .LNK (enlaces), de tal modo, que se podrían eludir los filtros perimetrales de algunos antivirus, e incluso ejecutar comandos en la máquina atacada sin necesidad de enviar código binario alguno.
Por ejemplo, el enlace podría llegar a ejecutar líneas de comandos (CMD o COMMAND) con diversos parámetros.
Un segundo fallo basado en el anterior, puede permitir la ejecución de archivos en el sistema vulnerable, sin necesidad de descargar ningún código. El problema se produce cuando se intenta guardar un posible archivo que no contenga extensión. Al intentar ejecutarlo, el Explorer intentará abrir un archivo con el mismo nombre, pero con extensión. Para que se ejecute, dicho archivo debe estar presente en el sistema.
Aunque esto último requiere que se conozca la existencia y ubicación de un archivo, es fácil intuir que junto con el primero, ambos fallos abren nuevas posibilidades para los escritores de virus.
La única recomendación al respecto, es no descargar archivos de sitios desconocidos, y hacerlo únicamente de aquellos que merezcan nuestra confianza.
Sin embargo, debemos ser muy cuidadosos, ya que un fallo anterior que permite disfrazar el verdadero dominio de un sitio web (ver "Falsificación de URL en Internet Explorer: Alto Riesgo",
http://www.vsantivirus.com/vul-arroba3.htm), podría combinarse con los ahora divulgados.
Más información:
Bypass alertas de seguridad de IE en descarga de archivos
http://www.infohacking.com/INFOHACKING_RESEARCH/Our_Advisories/IE/index_es.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|