Crónica de una vulnerabilidad anunciada

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 271 - Año 5 - Jueves 5 de abril de 2001

Crónica de una vulnerabilidad anunciada
Por José Luis López

¿Funciona o no funciona el parche?

En boletines anteriores (ver VSantivirus No. 266 - Año 5 - Sábado 31 de marzo de 2001, Grave vulnerabilidad en extensiones MIME en IE, y VSantivirus No. 269 - Año 5 - Martes 3 de abril de 2001, Parche que no funciona. Miles de usuarios indefensos y Medidas de emergencia (Por Juan Carlos García Cuartango)), informábamos que de acuerdo a lo publicado por el descubridor de esta vulnerabilidad en el Internet Explorer y el Outlook, Juan Carlos García Cuartango (http://www.kriptopolis.com), el parche liberado por Microsoft presentaba errores, y que este no se cargaba en ciertas versiones del IE, o que versiones que según Microsoft no eran vulnerables (anteriores a la 5.01), en realidad si lo eran.

La respuesta oficial de Microsoft es que es necesario actualizarse a las versiones 5.01 SP1 o a la 5.5 SP1. O bien, actualizar el IE por una de estas versiones, si se posee la versión 4.0 o 5.0. Claro, para ello deberá bajar de Internet todo el paquete de estas versiones, y luego recién instalar los parches.

¿Qué versión del IE tengo?

En el Internet Explorer, vaya a Ayuda, y pinche en Acerca de Internet Explorer. Allí aparece el número de versión. No importa lo que diga la imagen con el logo (todas las versiones dicen "Internet Explorer 5"), sino el número que viene al lado de "Versión:"

Por ejemplo:

Si dice: 5.00.2314.1003 o 5.00.2614.3500 (o versiones intermedias), usted tiene el IE 5.0
Si dice: 5.00.2919.6307 (o posteriores), usted tiene el IE 5.01
Si dice: 5.50.4134.0100 (o posteriores), usted tiene el IE 5.5
Si dice: 5.50.4522.1800 (o posteriores), usted tiene el IE 5.5 SP1

Para hacerla fácil, solo si tiene esta última versión, usted puede cargar el parche, porque si no la tiene, al ejecutar el parche, un mensaje le indicará que usted NO LO NECESITA porque está protegido, cuando esto no será así.

Recién luego de ello, baje y cargue el parche tal como se indica más adelante (ver el punto "Advertencia original de Microsoft").

Nota: Si se actualiza a la versión más nueva del explorador no es necesario el parche. Puede bajar el Internet Explorer 6, desde el link en nuestra página (bajo "Downloads" o "Links"), o desde esta dirección:

http://download.microsoft.com/download/IE60/fnlrtw/ie6/W98NT42KMe/ES/ie6setup.exe

Desde allí, bajará el instalador de la versión en español ("ie6setup.exe", de 500Kb aprox.). Ejecútelo luego en su PC, SIN DESCONECTARSE de Internet, y la instalación lo irá guiando.

¿Y entonces, estaré protegido actualizando el parche?

Pues... según Cuartango hay malas noticias. Aún actualizando el parche correctamente, usted estará vulnerable.

Según su explicación (http://www.kriptopolis.com), cuando se inicia la descarga de un archivo desde Internet, este puede ser disfrazado como algún tipo de archivo inocente (por ejemplo un archivo de texto, .TXT), cuando en realidad puede tratarse de un ejecutable. Esto ocurre porque el IE no muestra el nombre de archivo, sino un campo llamado CID (Content Identification), que puede ser manipulado por un atacante para hacer creer al usuario que está descargando un archivo diferente al que realmente va a traer a su PC.

¿Entonces, no tengo ninguna oportunidad de salvarme?

En este punto, creo que es importante tener claro el mismo concepto en el que tanto insistimos respecto al correo electrónico:

JAMÁS DEBEMOS ABRIR ARCHIVOS ADJUNTOS A UN MENSAJE SIN REVISARLOS ANTES CON UN ANTIVIRUS.

Pues, lo mismo ocurre con los archivos bajados de Internet (y no es algo nuevo):

JAMÁS DEBEMOS EJECUTAR INMEDIATAMENTE UN ARCHIVO BAJADO DE INTERNET. SIEMPRE DEBEMOS GUARDARLO ANTES A UNA CARPETA. Y RECIÉN LUEGO DE REVISAR ESA CARPETA CON UNO O DOS ANTIVIRUS, PODEMOS ARRIESGARNOS A EJECUTAR ESE ARCHIVO.

Lo que debemos tener muy en cuenta, es hacer esto SIEMPRE, sin importar el tipo de archivo que bajemos de Internet (no importa que parezca ser un inocente archivo de texto, cuando salga la ventana "Descarga de archivos", debemos SIEMPRE marcar la opción, "Guardar este archivo a disco", y JAMAS "Abrir este archivo desde su ubicación actual". Debemos asegurarnos también que SIEMPRE esté marcada la casilla "Preguntar siempre antes de abrir este tipo de archivos").

¿Es necesario el parche aún teniendo esta precaución?

Por supuesto, el parche evita la ejecución de código aún sin nuestra intervención, como se explica en los puntos siguientes (Nota: no se requiere el parche si instala Internet Explorer 6).

Resumen de la vulnerabilidad

Sistemas afectados:

Todas las versiones anteriores a la 5.5 SP1 (incluida esta), excepto la IE 5.01 SP2.
Cualquier software que utilice estas versiones del Internet Explorer para visualizar código HTML.

Advertencia original de Microsoft

Extraído de: http://www.microsoft.com/spain/support/windows/ie/ieupdate.asp

Actualización para el correo electrónico en Internet Explorer

Esta vulnerabilidad existe porque el Internet Explorer no maneja correctamente las cabeceras MIME (Multipurpose Internet Mail Extensions) en los correos electrónicos de HTML. Si un usuario con malas intenciones envía un correo electrónico de HTML preparado con un ejecutable o descarga en el servidor Web el correo electrónico, y un usuario abre el correo electrónico o visita el sitio Web, Internet Explorer ejecutará el archivo automáticamente en el equipo del usuario. Si esto ocurre, el ejecutable puede realizar alguna acción en el equipo del usuario, como añadir, cambiar, o borrar datos, comunicarse con sitios Web, o reformar la unidad de disco duro. Esta actualización elimina la vulnerabilidad corrigiendo la manera en que Internet Explorer maneja las cabeceras MIME de los correos electrónicos de HTML, impidiendo a los correos electrónicos que puedan ejecutar automáticamente archivos ejecutables.

Descargue ya esta actualización para prevenir que un usuario con malas intenciones pueda ejecutar un correo electrónico en su PC.

Requisitos de sistema para la instalación de la actualización

Esta actualización requiere tener instalado las siguientes versiones:

Internet Explorer 5.5 con el Service Pack 1
http://www.microsoft.com/downloads/release.asp?ReleaseID=25742

Internet Explorer 5.01 con el Service Pack 1
http://www.microsoft.com/windows/ie_intl/es/download/ie501SP1.htm

(Nota: NO INSTALE el parche sin actualizar su versión del IE antes. Vea más arriba el punto "¿Qué versión del IE tengo?")

Pasos para la instalación

1. Instale la actualización desde: www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

2. Seleccione en la lista desplegable "Spanish Language Version" y haga clic en Next.

3. Seleccione su versión de Internet Explorer de la lista desplegable y haga clic en "Download Now".

4. Descargue este archivo (q290108.exe de 520 Kb aprox.) a una carpeta de su sistema.

5. Luego de la descarga, haga clic sobre el archivo descargado (q290108 .exe), y responda Sí a la pregunta ¿Desea instalar esta actualización?.

6. Haga clic en Aceptar.

7. Reinicie el equipo para completar la instalación.

Verificación de la instalación de la actualización

Para verificar que se ha instalado con éxito la actualización:

1. Abrir Internet Explorer.
2. Haga clic en Ayuda.
3. Haga clic en Acerca de Internet Explorer.
4. En el apartado "Actualizar versiones" debe mostrarse q290108.

Algunas conclusiones

Según el CERT (Carnegie Mellon University), no se han reportado casos de que esta vulnerabilidad haya sido usada para atacar un sistema con éxito, pero el código de demostración que se aprovecha de la misma, se ha publicado en numerosos sitios públicos.

Ver también:
03/abr/01 - Parche que no funciona. Miles de usuarios indefensos
03/abr/01 - Medidas de emergencia (Por Juan Carlos García Cuartango)
31/mar/01 - Grave vulnerabilidad en extensiones MIME en IE