Considero este exploit altamente peligroso DALTON
> > ----- Original Message ----- > > From: <[EMAIL PROTECTED]> > > Sent: Tuesday, September 09, 2003 5:35 PM > > Subject: una-al-dia (07/09/2003) Alerta: Agujero cr�tico en Internet > > Explorer > > > > > > > Hispasec - una-al-d�a 07/09/2003 > > > Todos los d�as una noticia de seguridad www.hispasec.com > > > ------------------------------------------------------------------- > > > > > > Alerta: Agujero cr�tico en Internet Explorer > > > -------------------------------------------- > > > > > > Con tan s�lo visitar una p�gina con Internet Explorer el usuario > > > puede sufrir la infecci�n de un virus, el formateo de todas sus > > > unidades, o la instalaci�n de un "dialer" que realice llamadas de > > > tarificaci�n especial. No existe de momento soluci�n por parte de > > > Microsoft. Compruebe con Hispasec si su sistema es vulnerable y > > > descubra como evitar el problema. > > > > > > El �ltimo parche acumulativo de Microsoft para su navegador, del > > > pasado mes de agosto, no soluciona por completo un agujero cr�tico > > > que permite ejecutar c�digo arbitrario en los sistemas con Internet > > > Explorer. Las implicaciones en materia de seguridad son m�ximas, > > > si tenemos en cuenta lo cr�tico de la vulnerabilidad y la sencillez > > > con la que puede ser explotada. > > > > > > Tal y como ya avanzamos entonces en Hispasec, el problema reside > > > en que es posible hacer creer a Internet Explorer que cualquier > > > ejecutable es seguro y lanzarlo de forma autom�tica sin pedir > > > autorizaci�n alguna al usuario. La forma de explotaci�n es sencilla, > > > todo se debe a que Internet Explorer no chequea realmente la > > > naturaleza del contenido que establece la localizaci�n del ActiveX > > > a descargar en la etiqueta Object. > > > > > > El parche de Microsoft, publicado en agosto, corrige el problema > > > cuando la explotaci�n se lleva a cabo de forma directa mediante > > > contenido est�tico, pero no ha tenido en cuenta que es posible > > > explotarlo igualmente a trav�s de scripts. En definitiva, ha dejado > > > el agujero en su navegador, con el agravante de que ahora se conocen > > > los detalles de como explotarlo. > > > > > > Hispasec proporciona algunas demostraciones reales de como la > > > vulnerabilidad sigue existiendo, aun teniendo instaladas todas las > > > actualizaciones disponibles hasta la fecha, y como puede ser > > > explotada para ejecutar c�digo en su sistema a trav�s de la �ltima > > > versi�n de Internet Explorer. > > > > > > > > > Ejemplo 1 (descarga y ejecuci�n de una aplicaci�n) > > > > > > En este caso se utiliza el agujero para descargar una aplicaci�n y > > > ejecutarla de forma transparente. Hemos escogido una peque�a broma > > > gr�fica inofensiva, de Robert Salesas, que da la vuelta a la pantalla. > > > Con tan s�lo visitar la p�gina web, la aplicaci�n se copiar� en el > > > disco duro del usuario como C:\prueba_ie_hispasec.exe y la ejecutar�. > > > > > > > http://www.hispasec.com/directorio/laboratorio/Software/tests/odrev3.html > > > > > > Despu�s de completar el test, si se ha llevado a cabo con �xito, se > > > recomienda eliminar el archivo C:\prueba_ie_hispasec.exe > > > > > > En lugar de una aplicaci�n inofensiva, que algunos antivirus pueden > > > detectar como "joke" (broma), un atacante podr�a utilizar una p�gina > > > web, o un mensaje con formato HTML, para distribuir virus, gusanos > > > o troyanos que infectar�an de forma autom�tica y transparente al > > > usuario. > > > > > > > > > Ejemplo 2 (Windows 2000/XP e Internet Explorer 6): > > > > > > En esta p�gina abrimos una ventana DOS en el sistema del usuario > > > en la que se demuestra la posibilidad de ejecutar cualquier comando. > > > Podr�amos, por ejemplo, borrar archivos o formatear la unidad, en su > > > lugar solo hemos realizado un listado de la unidad C: y mostramos > > > un mensaje de advertencia. > > > > > > http://www.hispasec.com/directorio/laboratorio/Software/tests/odrev.html > > > > > > > > > Soluci�n para evitar este tipo de exploit: > > > > > > A la espera del nuevo parche por parte de Microsoft, la �nica > > > soluci�n para este tipo de exploits pasa por desactivar la "Secuencia > > > de comandos ActiveX" en Internet Explorer. > > > > > > Desde el men� Herramientas, Opciones de Internet, pesta�a Seguridad, > > > Nivel personalizado, Secuencias de comandos ActiveX, se�alar la > > > opci�n de Desactivar. > > > > > > El problema es que el navegador ser� incapaz de visualizar muchas > > > p�ginas que utilizan scripts de forma correcta. Sin ir m�s lejos, > > > por ejemplo, no podremos acceder a www.hotmail.com > > > > > > > > > Ejemplo 3 (Windows 2000/XP e Internet Explorer 6) > > > > > > Esta es otra variante del exploit con los mismos efectos que el > > > anterior, pero que es capaz de ejecutarse aun teniendo desactivada > > > la opci�n de "Secuencias de comandos ActiveX". > > > > > > > http://www.hispasec.com/directorio/laboratorio/Software/tests/odrev2.html > > > > > > > > > Soluci�n para evitar este tipo de exploit: > > > > > > Desde el men� Herramientas, Opciones de Internet, pesta�a Seguridad, > > > Nivel personalizado, Controles y complementos de ActiveX, Ejecutar > > > controles y complementos de ActiveX, se�alar la opci�n de Desactivar. > > > > > > Evidentemente, con esta nueva restricci�n que configuramos en el > > > navegador, aumenta la seguridad proporcionalmente a la posibilidad > > > de que no podamos visualizar muchas p�ginas que necesitan de estas > > > funcionalidades. > > > > > > > > > Soluci�n gen�rica: > > > > > > Otra opci�n, que permite visualizar p�ginas con scripts como Hotmail > > > y a su vez estar libres de este tipo de vulnerabilidades que suelen > > > afectar a Internet Explorer, consiste en utilizar otro navegador por > > > defecto. > > > > > > Uno de los que �ltimamente se encuentra m�s en boga, consiguiendo > > > d�a a d�a nuevos adeptos gracias a sus funcionalidades y fiabilidad, > > > es Mozilla Firebird: http://www.mozilla.org/products/firebird/ > > > > > > > > > Otra capa de seguridad adicional la pueden proporcionar las casas > > > antivirus, incluyendo firmas para reconocer de forma gen�rica el > > > c�digo de estos exploits, detectando y deteniendo cualquier p�gina > > > que intente aprovechar esta vulnerabilidad. Nos consta de que > > > algunas casas antivirus se encuentran en estos momentos analizando > > > el problema y actualizar�n sus productos en breve. Recomendamos a > > > los usuarios que, en el caso de que no lo hagan, exijan a sus > > > productos antivirus que incluyan la protecci�n necesaria. > > > > > > Opina sobre esta noticia: > > > http://www.hispasec.com/unaaldia/1778/comentar > > > > > > M�s informaci�n: > > > > > > 22/08/2003 - Internet Explorer: actualizaci�n urgente > > > http://www.hispasec.com/unaaldia/1762 > > > > > > Microsoft Security Bulletin MS03-032 > > > Cumulative Patch for Internet Explorer (822925) > > > http://www.microsoft.com/technet/security/bulletin/MS03-032.asp > > > > > > BAD NEWS: Microsoft Security Bulletin MS03-032 > > > > > > http://lists.netsys.com/pipermail/full-disclosure/2003-September/009639.html > > > > > > Internet Explorer Object Data Remote Execution Vulnerability > > > http://www.eeye.com/html/Research/Advisories/AD20030820.html > > > > > > Tests OnLine Hispasec > > > http://www.hispasec.com/directorio/laboratorio/Software/ > > > > > > > > > Bernardo Quintero > > > [EMAIL PROTECTED] > > > > > > > > > Tal d�a como hoy: > > > ----------------- > > > > > > 07/09/2002: M�ltiples vulnerabilidades en la serie Cisco VPN 3000 > > > http://www.hispasec.com/unaaldia/1413 > > > > > > 07/09/2001: Vulnerabilidad en fetchmail > > > http://www.hispasec.com/unaaldia/1048 > > > > > > 07/09/2000: AIX permite borrar las estad�sticas de red > > > http://www.hispasec.com/unaaldia/682 > > > > > > 07/09/2000: Ejecuci�n de c�digo arbitrario en "PROFTPD" > > > http://www.hispasec.com/unaaldia/683 > > > > > > 07/09/1999: ALERTA V�RICA: "Cholera", un i-worm de nueva generaci�n > > > http://www.hispasec.com/unaaldia/315 > > > > > > > > > ------------------------------------------------------------------- > > > Claves PGP en http://www.hispasec.com/directorio/contacto > > > ------------------------------------------------------------------- > > > Bajas: mailto:[EMAIL PROTECTED] > > > Altas: mailto:[EMAIL PROTECTED] > > > ------------------------------------------------------------------- > > > (c) 2003 Hispasec http://www.hispasec.com/copyright > > > ------------------------------------------------------------------- > > > > > > > > > -----BEGIN PGP SIGNATURE----- > > > Version: PGP 6.5.8 > > > > > > iQEVAwUBP13kzWm0B3NuQ/7BAQEnCQf/RrdC8F9FWaEgoVUVemUxslXdzlx3Aafh > > > vmVlM2xrpBGELvxicJaQIAnbucJ6I8FmcWUb9brNEO+B0Wf8HAnFoY/dVoVdpOT+ > > > nZtwmQ5C7/zo9MZ36ApVuK7zu5bnMH6oKEUPIBBjHzii/S+2ChWjOu42R48qk6II > > > x1vC5OZav9LP4qbvD4XJOgk+eoNVVm3EMSX6fUEFzr/P4deZvDuc7ktAVwKQ4CQo > > > S0qVNGEy9Pceh/9PBVeJRTYVu8KDepJuQzZeOA4SSyjccvHbfWt0RXHH/tbSlZIA > > > p/Zt5omMENY/ZszBTrkXA6EZ/s9InKFyAi3/xud1UUKgRGSbFpQp8w== > > > =ywjc > > > -----END PGP SIGNATURE----- > > > _______________________________________________ llista de correu de l'Internauta [EMAIL PROTECTED] http://zeus.internauta.net/mailman/listinfo/internauta
