Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Ataques a certificación HTTPS en Internet Explorer
 
VSantivirus No. 536 - Año 6 - Miércoles 26 diciembre de 2001

Ataques a certificación HTTPS en Internet Explorer

Aviso de seguridad: Ataques a certificación HTTPS en Internet Explorer
Nombre original: Internet Explorer HTTPS certificate attack
Fecha original: 22/dic/01
Autor/descubridor: Stefan Esser [s.esser@e-matters.de]
Aplicación vulnerable: Microsoft Internet Explorer 5.0, 5.5 y 6.0
Severidad: Permite ataques a la autentificación SSL
Riesgo: Muy alto
Fabricante: Microsoft (avisado)
Referencia: http://security.e-matters.de/advisories/012001.html 

Existe una falla en Internet Explorer que puede permitir un ataque a través del SSL (Secure Socket Layer).

SSL es una tecnología que utiliza criptografía para cifrar los datos que se intercambian con un servidor seguro.

En una explicación sumamente básica, se trata de un mecanismo para transferir datos en forma segura a través de una red. Esto permite por ejemplo, el manejo de cuentas bancarias a través de Internet, sin el temor de poner en peligro la información confidencial que manejamos. Los sitios que utilizan SSL se identifican como HTTPS://, en lugar del tradicional HTTP://.

Los paquetes de datos transmitidos bajo SSL, son encriptados, y además se agregan mecanismos para corroborar en todos los pasos, su autenticidad, advirtiéndose cualquier caso en que pudieran haber sido alterados durante su envío.

Sin embargo, desde hace un tiempo, se conoce una técnica que tira por tierra la seguridad del SSL, aunque no es fácil de implementar.

Para corroborar la autenticidad de los sitios y los usuarios que acceden a ellos, se utilizan certificados que deben ser instalados en nuestra computadora. Por ejemplo, si manejamos una cuenta bancaria vía Web, en algún momento la institución bancaria nos remitió un certificado que nos permite actuar en nuestra cuenta.

La tarea fundamental de esta certificación, es demostrar que quienes se conectan (cliente y servidor), son quienes dicen ser, y además se implementa una codificación única entre ambos.

Esto mismo puede hacerse para cualquier otra acción que requiera esta autentificación, como por ejemplo, hacer pagos con tarjeta de crédito, envío de información confidencial, etc.

Sin embargo, si se logra falsificar dichos certificados se podría tomar el control de la cuenta. Un método, llamado "el hombre del medio" (SSL MIM attacks, MIM por Man-In-The-Middle), puede permitir "secuestrar" una conexión para remitir el certificado falso sin el conocimiento de la víctima. También logra engañar al cliente para que este crea ver el certificado que está esperando, y que además suponga que proviene del verdadero servidor seguro.

Existe una falla en la manera que el Internet Explorer examina los objetos HTTPS embebidos dentro de páginas HTTP normales, en una etiqueta del tipo <img src=XXXXX width=1 height=1>

De este modo, un atacante, o un troyano, podrían agregar una línea como esta a cada página descargada desde un sitio HTTPS://, logrando un certificado legítimo, pero robado.

<img src="https://www.NOMBRE_SITIO.com/nonexistent.gif" width=1 height=1>

Según los tests realizados por quienes revelaron la falla, el IE solo comprueba si el certificado correspondiente a ese servidor HTTPS está firmado correctamente, pero ignora detalles como fecha de expiración y si ha sido asignado al nombre correcto. Esto no es un problema, si consideramos que un objeto HTTPS dentro de una página HTTP no es considerado seguro.

Sin embargo, el IE marca el certificado como verdadero cuando finaliza la sesión con el Explorer. De esta manera, una vez que se ha visitado una página normal con esas condiciones, el IE ya no advertirá sobre la ilegalidad del certificado. Puede hacerse que el usuario acceda a un dominio diferente al que correspondería, capturando toda su información privada, como por ejemplo, transacciones de su tarjeta de crédito en un sitio de compras, que irían a una cuenta diferente a la que se piensa. La mayoría de los usuarios no notaría que el sitio es nombre_sitio.DE, en lugar de nombre_sitio.COM por ejemplo.

Microsoft fue avisado el 26 de noviembre de 2001 de la falla, pero hasta el primero de diciembre no informó haber recibido la información.

El 12 de diciembre se avisó a MS que la falla iba a ser hecha pública en los siguientes tres días, recibiéndose como respuesta el pedido de que se esperara unos días más, debido a que la solución era muy compleja, ya que estaba involucrada con mucha criptografía.

La actualización del IE liberada el 21 de diciembre, no incluía todavía un parche para esta falla.

Por ese motivo, y a casi un mes de haber sido avisado Microsoft, sin obtenerse solución del problema, se envió a varias listas de seguridad la información sobre esta falla.

Una de las razones para hacerlo así, mal que le pese a MS, es que en estas fechas especiales (Navidad, etc.), millones de clientes alrededor del mundo, han estado haciendo compras o transacciones comerciales, sin percatarse que sus datos personales pudieron haber estado en peligro.

Por el momento, la única manera de estar seguros que el certificado es auténtico, es comprobar que la dirección del servidor al que se accede, es la misma a la que corresponde el certificado. Para ello, desde el Internet Explorer, vaya a Herramientas, Opciones de Internet (o desde Panel de control, Opciones de Internet), Contenido, pinchar en el botón Certificados, seleccionar el certificado correspondiente de la lista que se presenta, marcarlo y pinchar en el botón Ver, y en las Propiedades comprobar que el nombre de servidor en el certificado, es el mismo del sitio al que se accede.

Además de todo lo expuesto, las últimas noticias aseguran que esta vulnerabilidad no es nueva. Fue informada a Microsoft por ACROS Penetration Team, hace ya dos años, y existió un parche para las versiones 4.0 y 5.0 del Internet Explorer de esas fechas. Un boletín posterior (MS00-039) específicamente aclara que las versiones del IE 5.01 SP1 y el IE 5.5 no son vulnerables.

En algún momento, algún parche volvió por error las cosas a su estado anterior, provocando que otra vez las versiones del Internet Explorer 5.0 y 5.5 y ahora también 6.0, sean vulnerables.

Ejemplo de la falla:

En http://suspekt.org, si pinchamos en "GOTO SECURE PAGE", el enlace nos lleva a https://suspekt.org sin ninguna advertencia del IE sobre que el certificado no corresponde a ese servidor, cosa que podemos ver si pinchamos sobre el candado amarillo que aparece abajo a la derecha, en el IE.

Referencias:

Internet Explorer HTTPS certificate attack
http://security.e-matters.de/advisories/012001.html

SSL MIM attacks
Phrack #57 - Hang on, Snoopy (by stealth)
http://www.phrack.org/show.php?p=57&a=13

Microsoft Security Bulletin (MS00-039)
Patch Available for 'SSL Certificate Validation' Vulnerabilities (June 05, 2000)
www.microsoft.com/technet/security/bulletin/MS00-039.asp


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS