Laura, no se si has leido la noticia una al dia de hispasec de ayer: Burlar el antivirus de Hotmail por XSS --------------------------------------
Cross site scripting (XSS) es una de las vulnerabilidades m�s comunes hoy d�a de los sitios web, y tambi�n es una de las que menos atenci�n se le presta, pese a que puede tener importantes implicaciones para la seguridad del cliente. En esta ocasi�n se demuestra como a trav�s de XSS es posible burlar la protecci�n antivirus que ofrece Hotmail. Cross site scripting (XSS) es una de las vulnerabilidades m�s comunes hoy d�a de los sitios web, y tambi�n es una de las que menos atenci�n se le presta, pese a que puede tener importantes implicaciones para la seguridad del cliente. En esta ocasi�n se demuestra como a trav�s de XSS es posible burlar la protecci�n antivirus que ofrece Hotmail. El ataque t�pico de Cross site scripting (XSS) suele llevarse a cabo a trav�s de un enlace que apunta a un servidor web afectado. La URL se construye de forma especial para que incluya un script del atacante que ser� transmitido por el servidor afectado al cliente que utilice el enlace para visitar el web. Dado por ejemplo un sitio web que permite realizar b�squedas: http://sitio/busqueda.asp?busca=texto El XSS podr�a darse a trav�s de una URL tipo: http://sitio/busqueda.asp?busca=<script_del_atacante> Las posibilidades de ataque a trav�s de XSS son varias, las m�s comunes suelen ser la captura de cookies e identificadores, que permiten capturar sesiones y suplantar la identidad de los afectados, o la modificaci�n de contenidos para enga�ar al visitante v�ctima del XSS, con la posibilidad de construir formularios para robar datos sensibles, como contrase�as, datos bancarios, etc. Hotmail y archivos adjuntos El sistema de descarga de archivos adjuntos de Hotmail se lleva a cabo a trav�s de una URL donde se pasan como par�metros, entre otros, el identificador del usuario y del mensaje. En esa misma URL se encuentra al final un par�metro (vscan) que de forma evidente es el que da la orden para que en el momento de la descarga por parte del usuario se realice el an�lisis del antivirus. La URL de descarga de adjuntos tiene un aspecto como el siguiente: http://by7fd.bay7.hotmail.msn.com/cgi-bin/getmsg?curmbox=F000000001&; a=[id_del_usuario]&msg=[id_del_mensaje]&start=XXXXXX&len=XXXX& mimepart=4&vscan=scan El exploit de infohacking est� basado en un XSS presente en Hotmail a trav�s de los archivos adjuntos mediante el cual consigue tener acceso al identificador del usuario y del mensaje. Gracias a estos datos que puede conseguir a trav�s del XSS, construye una URL de descarga donde omite el par�metro del antivirus. El resultado es que el atacante puede enviar adjunto un archivo .htm que contiene el exploit XSS y un segundo archivo con un virus. La v�ctima, al abrir el primer adjunto .htm, provoca la redirecci�n a la nueva URL construida que descarga el segundo archivo adjunto infectado (el virus) sin pasar por el an�lisis del antivirus de Hotmail. El exploit de infohacking es una prueba de concepto que puede no reproducirse en todas las circunstancias. Principalmente se debe al uso de referencias absolutas (slice) para delimitar la cadena principal desde donde extrae los par�metros e identificadores. Una peque�a variaci�n para recoger esta cadena de forma m�s din�mica seg�n separadores (split) puede hacer m�s portable el exploit, sin depender de la longitud exacta de la URL seg�n var�e el servidor o la longitud de los par�metros. Opina sobre esta noticia: http://www.hispasec.com/unaaldia/1698/comentar M�s informaci�n: HOTMAIL XSS and AV bypass exploit http://www.infohacking.com/INFOHACKING_RESEARCH/Our_Advisories/Hotmail/index.htm Bernardo Quintero [EMAIL PROTECTED] ----- Original Message ----- From: <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Friday, June 20, 2003 6:08 PM Subject: [Internauta] mail d'extrany comportament hola nomes informar del darrer mail viros q m'ha arribat, nomes obrirlo des de un webmail em demana guardar un arxiu que no he demanat,... Si vos heu trobat amb ell em confirmareu si es un virus, mentres el borre, ;) fins aviat! laura l'arxiu txt que porta el mail diu a�o: --------------------------------------------------------------- UWAGA !!! Zmieniono nazwe zalacznika ! --------------------------------------------------------------- Skaner Antywirusowy poczty Wirtualnej Polski zmienil nazwe zalacznika, ktory moze zawierac wirusa. Ostatnia kropka w nazwie pliku zostala zamieniona na znak podkreslenia w celu wyeliminowania automatycznego uruchomienia zawartego wewnatrz wiadomosci zalacznika. --------------------------------------------------------------- Warning !!! The attachment's filename has been changed! --------------------------------------------------------------- Anti-Virus Scanner of Wirtualna Polska mail system has changed the name of attachment, which can contain a virus. The last dot character in its filename has been changed to underscore, in order to avoid automatic execution of the attachment included in the mail message. -------------------------------------------------------------------- I EL MAIL ES AQUEST: Remitente Internet Mail Storage <[EMAIL PROTECTED]> Fecha Viernes, Junio 20, 2003 4:01 pm Destinatario Network email-form user < > Asunto Abort Notice Ficheros incluidos ylKxxSsVc_exe 124K antyvirinfo.txt 1K This is the qmailservice program. I'm sorry to have to inform you that the message returned below could not be delivered to one or more destinations. Undeliverable to [EMAIL PROTECTED] _______________________________________________ llista de correu de l'Internauta [EMAIL PROTECTED] http://zeus.internauta.net/mailman/listinfo/internauta _______________________________________________ llista de correu de l'Internauta [EMAIL PROTECTED] http://zeus.internauta.net/mailman/listinfo/internauta
