Skip to content

Más problemas para Internet Explorer: Dos nuevas vulnerabilidades permiten la obtención remota de ficheros del sistema

Publicado por Sergio Hernando el 4 febrero 2010

Buenas,

Definitivamente 2010 no ha empezado con buen pie para Internet Explorer. Si hace poco vivía un 0-day con importantes consecuencias para la seguridad, ahora tenemos en lo alto de la mesa un problema moderadamente crítico (definitivamente menos relevante que el anterior) que sin embargo vuelve a requerir por parte de los usuarios una atención especial.

Los amigos de Core Security descubrieron tiempo atrás un par de problemas (uno tiene que ver con la etiqueta de objetos dinamicos y el otro con URLMON) que ahora han hecho públicos, mediante los cuales un atacante podría extraer información sensible almacenada en ficheros locales de un sistema Windows siempre y cuando el usuario emplease una versión vulnerable y visitase una página especialmente conformada. No se necesita intervención alguna del usuario mas allá de visitar la pagina maliciosa, si bien este problema no permite (afortunadamente) comprometer el sistema en su totalidad como ocurriera con el exploit Aurora.

Quizás sea reseñable indicar que estas vulnerabilidades son, en palabras de los descubridores, una variación de otros problemas descubiertos anteriormente por Core (CoreLabs Security Advisories CORE-2008-0103 y CORE-2008-0826), lo que quizás sirva para reavivar el eterno debate sobre si los parches que ofrecen los fabricantes solventan siempre los problemas de raíz o si por el contrario, son paños de agua caliente para salir del paso.

No hay parche disponible para estas vulnerabilidades y Microsoft ha documentado el correspondiente Security Advisory en el que se comentan los posibles medidas de mitigación y donde la compañia deja entrever que no descarta publicar un parche fuera de ciclo (out-of-band) al respecto.

¿Es mi versión de Internet Explorer vulnerable?

De acuerdo a la información liberada por los descubridores, la relación de versiones vulnerable es la que sigue:

  • Internet Explorer 5.01 SP4 corriendo en Windows 2000 SP4
  • Internet Explorer 6 SP1 corriendo en Windows 2000 SP4
  • Internet Explorer 6 SP2 corriendo en Windows XP SP2
  • Internet Explorer 6 SP2 corriendo en Windows XP SP3
  • Internet Explorer 7 corriendo en Windows XP SP2
  • Internet Explorer 7 corriendo en Windows XP SP3
  • Internet Explorer 7 corriendo en Windows Vista SP1
  • Internet Explorer 7 corriendo en Windows Vista SP2
  • Internet Explorer 7 corriendo en Windows Server 2003 SP2 si el modo protegido está desactivado y no se usa la configuración mejorada de seguridad
  • Internet Explorer 7 corriendo en Windows Server 2008 si el modo protegido está desactivado y no se usa la configuración mejorada de seguridad
  • Internet Explorer 8 corriendo en Windows XP SP2
  • Internet Explorer 8 corriendo en Windows XP SP3
  • Internet Explorer 8 corriendo en Windows Vista SP1 si el modo protegido está desactivado
  • Internet Explorer 8 corriendo en Windows Vista SP2 si el modo protegido está desactivado
  • Internet Explorer 8 corriendo en Windows 7 si el modo protegido está desactivado
  • Internet Explorer 8 corriendo en Windows Server 2003 SP2 si el modo protegido está desactivado y no se usa la configuración mejorada de seguridad
  • Internet Explorer 8 corriendo en Windows Server 2008 R2 si el modo protegido está desactivado y no se usa la configuración mejorada de seguridad

No son vulnerables las siguientes configuraciones:

  • Internet Explorer 7 corriendo en Windows Vista, Windows Server 2003 o Windows 7 si el modo protegido está activado
  • Internet Explorer 8 corriendo en Windows Vista o Windows Server 2003 si el modo protegido está activado
  • Internet Explorer 8 corriendo en Windows Server 2003 si el modo protegido está activado
  • Internet Explorer 8 corriendo en Windows 7 o Windows Server 2008 R2 si el modo protegido está activado

Lo que debes hacer si usas Internet Explorer

Lo primero es leete el Microsoft Security Advisory (980088): http://www.microsoft.com/technet/security/advisory/980088.mspx.

Una vez te lo hayas leído puedes aplicar alguna de las siguientes acciones de mitigación (no es necesario ejecutarlas todas)

  1. Asegúrate de ejecutar Internet Explorer con el modo protegido activado, si es que tu sistema operativo lo permite y si entiendes las limitaciones que se pueden producir al usarlo (http://blogs.msdn.com/ie/archive/2007/04/04/protected-mode-for-ie7-in-windows-vista-is-it-on-or-off.aspx). Como probablemente te suene a chino esto del modo protegido, puedes documentarte en http://msdn.microsoft.com/en-us/library/bb250462(VS.85).aspx. Este modo viene activado por defecto en la zona de seguridad de Internet sólo en Windows Vista, Windows 7 y Windows Server 2008.
  2. Emplea la funcionalidad Network Protocol Lockdown del navegador. Puedes activarlo y desactivarlo en http://support.microsoft.com/kb/980088.
  3. En la configuración por zonas, establece el nivel de seguridad tanto para Internet como Intranet en ALTO, con lo que se impedirá la ejecucion de scripts y controles ActiveX. Nótese que esto puede tener implicaciones en ciertas aplicaciones Web que usen estos componentes.
  4. Desactiva el scripting activo para las zonas Internet e Intranet Local manualmente, estableciendo una configuración de las mismas de tipo personalizado.

Si por alguna razón no comprendes el trasfondo de estas posibles soluciones (lo cual no me extrañaría lo más mínimo) o si tienes dudas sobre su utilización, lo más sensato, hasta que se publique un parche, es no usar Internet Explorer a la hora de visitar páginas que no sean de nuestra más exclusiva confianza. Un navegador alternativo es recomendable en estos casos.

Un saludo,

Be Sociable, Share!

Categoría/s → Alertas, Seguridad

13 comentarios
  1. 5 febrero 2010

    Sergio, que somos tus lectores. Si no entendieramos el “trasfondo” de esto no te leeríamos. Hombre, comprobar el Protected Mode es muy sencillito y para el atacante, conocer el nombre del archivo en la zon de usuarios es más dificil. Que todas las vulnerabilidades sean así!! ;)

    Pero de nuevo.. Configuración por defecto de Windows Vista con IE7 y Windows 7 con IE8 nos ha salvado ;)

  2. 6 febrero 2010

    Y dándole vueltas al asunto… ¿por qué entre las recomendaciones no has metido la más sensata?

    “Se recomienda actualizar a la última versión de Internet Explorer y no deshabilitar el modo protegido”.

    Voy a empezar a pensar seriamente que eres un poco “anti Microsoft” Sergio.

    Saludos!

  3. 6 febrero 2010

    Buenas maloso,

    Con lo del trasfondo me referia a los usuarios de a pie, que por estos lares los hay, a los cuales siempre les resulta complicado aplicar las medidas de contencion como las citadas.

    ¿Yo antimMS? Si lo fuera no perderia el tiempo en ayudar a sus usuarios con estas cosas. Hay en este post mas informacion tecnica que en el KB de la casa :)

    Un saludo!

  4. 7 febrero 2010

    Sí, y una sucinta recomendación perenne en tus posts… aún saltándose la recomendación más sensata:

    ” hasta que se publique un parche, es no usar Internet Explorer a la hora de visitar páginas que no sean de nuestra más exclusiva confianza. Un navegador alternativo es recomendable en estos casos.”

    Estudiandome otros casos de fallos siempre he visto que recomiendas actualizar a la última versión. No así en este caso…. ;)

    Saludos malosos… digo malignos!

  5. 8 febrero 2010
    Navegador Alternativo permalink

    Los navegadores “alternativos”, también la lían, y si no se lo creen miren el siguiente URL (en inglés):

    http://blog.mozilla.com/addons/2010/02/04/please-read-security-issue-on-amo/

    Como se puede observar, Mozilla distribuye complementos ya directamente infectados con troyanos desde su propia página (y siguen disponibles).

    ¿De quién fiarse?

  6. 10 febrero 2010

    Como siempre, muy didáctico y bien explicado Sergio. A pesar de no usar IE (uso Firefox) creo que con esta información ayudas a muchas personas las cuales todavia confían en ese navegador por los motivos que sean.

    PD: Me gusta cuando aparece Chema el malo por aquí xd, el tío defiende MS como si fuera el hermano de Bill.

  7. 11 febrero 2010

    Muy completa la información. La verdad es que Internet Explorer no está precisamente en su mejor momento como bien comentas. Hechos recientes como que el Gobierno de Alemania (ahí es nada!) recomiende a sus ciudadanos que no utilicen el navegador de Microsoft no hacen más que empeorar las cosas para IE. A lo mejor es el momento del despegue definitivo de Firefox, o de otros navegadores menos vulnerables. Veremos.

  8. 13 febrero 2010

    @Aúdea, creo que tú tampoco te leíste el advisory del gobierno aleman. Ni mucho menos decía que se dejara de utilizar IE. Sólo mientras no hubiera parche. Es un matiz pequeño pero de gran trascendencia. La realidad, por suerte para la seguridad de todos, es que IE8 es ya el navegador más usado en el mundo.

    saludos malignos!

Trackbacks & Pingbacks

  1. Más problemas para Internet Explorer: Dos nuevas vulnerabilidades permiten la obtención remota de ficheros del sistema | Shadow Security
  2. Más problemas para Internet Explorer: Dos nuevas vulnerabilidades permiten la obtención remota de ficheros del sistema
  3. Mas usado, mas vulnerable y menos usado, menos vulnerable. « Terabytes Libres
  4. Más problemas para Internet Explorer: Dos nuevas vulnerabilidades permiten la obtención remota de ficheros del sistema | El Noticiero
  5. Más usado, más vulnerable y menos usado, menos vulnerable « Navegadores « Terabytes Libres

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS