|
VSantivirus No. 1104 Año 7, Miércoles 16 de julio de 2003
Robo de información usando "chromeless" en IE
http://www.vsantivirus.com/vul-full-chromeless.htm
Por Angela Ruiz
angela@videosoft.net.uy
A partir de la vulnerabilidad en ventanas "chromeless" del IE (ver http://www.vsantivirus.com/vul-chromeless.htm), se ha publicado en Bugtraq, una prueba de concepto sobre la forma de utilizar esta falla, para capturar la contraseña y nombre del usuario.
En la demostración ( http://www.systemintegra.com/ie-fullscreen/), se presenta una ventana a tamaño "Pantalla completa" del Internet Explorer (igual que pulsar F11), con el fondo clásico de Windows (en este caso Windows 2000), y la ventana para logearse, que solicita nombre de usuario y contraseña para acceder al sistema.
Tanto los campos a rellenar (nombre de usuario y contraseña) como el botón de [OK], están operativos.
Si usted ingresa datos, estos son capturados, y la ventana desaparece (en la demostración se muestra la información capturada, para comprobar que ello es posible).
Un usuario normal no notará nada extraño, salvo el "reinicio" aparente del sistema con el pedido de logearse nuevamente a él ingresando su contraseña.
Esta prueba de concepto, demuestra lo peligroso que puede ser esta falla. Crear un código que examine la versión de Windows instalada para presentar una ventana de datos acorde con el sistema, puede ser algo trivial, y aumenta el rango de posibilidades para un ataque exitoso.
En modo local, la pantalla puede aparecer enseguida. A través de Internet, una demora en la descarga de la imagen, puede hacer sospechar a cualquier usuario con cierta experiencia.
Créditos:
Marek Bialoglowy (ultor@systemintegra.com)
Referencias:
Internet Explorer Full-Screen mode threats
http://www.securityfocus.com/archive/1/329143
Demostración:
http://www.systemintegra.com/ie-fullscreen/
Relacionado:
Vulnerabilidad en ventanas "chromeless" del IE
http://www.vsantivirus.com/vul-chromeless.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|