Más problemas para Internet Explorer: Dos nuevas vulnerabilidades permiten la obtención remota de ficheros del sistema

Buenas,

Definitivamente 2010 no ha empezado con buen pie para Internet Explorer. Si hace poco vivía un 0-day con importantes consecuencias para la seguridad, ahora tenemos en lo alto de la mesa un problema moderadamente crítico (definitivamente menos relevante que el anterior) que sin embargo vuelve a requerir por parte de los usuarios una atención especial.

Los amigos de Core Security descubrieron tiempo atrás un par de problemas (uno tiene que ver con la etiqueta de objetos dinamicos y el otro con URLMON) que ahora han hecho públicos, mediante los cuales un atacante podría extraer información sensible almacenada en ficheros locales de un sistema Windows siempre y cuando el usuario emplease una versión vulnerable y visitase una página especialmente conformada. No se necesita intervención alguna del usuario mas allá de visitar la pagina maliciosa, si bien este problema no permite (afortunadamente) comprometer el sistema en su totalidad como ocurriera con el exploit Aurora.

Quizás sea reseñable indicar que estas vulnerabilidades son, en palabras de los descubridores, una variación de otros problemas descubiertos anteriormente por Core (CoreLabs Security Advisories CORE-2008-0103 y CORE-2008-0826), lo que quizás sirva para reavivar el eterno debate sobre si los parches que ofrecen los fabricantes solventan siempre los problemas de raíz o si por el contrario, son paños de agua caliente para salir del paso.

No hay parche disponible para estas vulnerabilidades y Microsoft ha documentado el correspondiente Security Advisory en el que se comentan los posibles medidas de mitigación y donde la compañia deja entrever que no descarta publicar un parche fuera de ciclo (out-of-band) al respecto.

¿Es mi versión de Internet Explorer vulnerable?

De acuerdo a la información liberada por los descubridores, la relación de versiones vulnerable es la que sigue:

  • Internet Explorer 5.01 SP4 corriendo en Windows 2000 SP4
  • Internet Explorer 6 SP1 corriendo en Windows 2000 SP4
  • Internet Explorer 6 SP2 corriendo en Windows XP SP2
  • Internet Explorer 6 SP2 corriendo en Windows XP SP3
  • Internet Explorer 7 corriendo en Windows XP SP2
  • Internet Explorer 7 corriendo en Windows XP SP3
  • Internet Explorer 7 corriendo en Windows Vista SP1
  • Internet Explorer 7 corriendo en Windows Vista SP2
  • Internet Explorer 7 corriendo en Windows Server 2003 SP2 si el modo protegido está desactivado y no se usa la configuración mejorada de seguridad
  • Internet Explorer 7 corriendo en Windows Server 2008 si el modo protegido está desactivado y no se usa la configuración mejorada de seguridad
  • Internet Explorer 8 corriendo en Windows XP SP2
  • Internet Explorer 8 corriendo en Windows XP SP3
  • Internet Explorer 8 corriendo en Windows Vista SP1 si el modo protegido está desactivado
  • Internet Explorer 8 corriendo en Windows Vista SP2 si el modo protegido está desactivado
  • Internet Explorer 8 corriendo en Windows 7 si el modo protegido está desactivado
  • Internet Explorer 8 corriendo en Windows Server 2003 SP2 si el modo protegido está desactivado y no se usa la configuración mejorada de seguridad
  • Internet Explorer 8 corriendo en Windows Server 2008 R2 si el modo protegido está desactivado y no se usa la configuración mejorada de seguridad

No son vulnerables las siguientes configuraciones:

  • Internet Explorer 7 corriendo en Windows Vista, Windows Server 2003 o Windows 7 si el modo protegido está activado
  • Internet Explorer 8 corriendo en Windows Vista o Windows Server 2003 si el modo protegido está activado
  • Internet Explorer 8 corriendo en Windows Server 2003 si el modo protegido está activado
  • Internet Explorer 8 corriendo en Windows 7 o Windows Server 2008 R2 si el modo protegido está activado

Lo que debes hacer si usas Internet Explorer

Lo primero es leete el Microsoft Security Advisory (980088): http://www.microsoft.com/technet/security/advisory/980088.mspx.

Una vez te lo hayas leído puedes aplicar alguna de las siguientes acciones de mitigación (no es necesario ejecutarlas todas)

  1. Asegúrate de ejecutar Internet Explorer con el modo protegido activado, si es que tu sistema operativo lo permite y si entiendes las limitaciones que se pueden producir al usarlo (http://blogs.msdn.com/ie/archive/2007/04/04/protected-mode-for-ie7-in-windows-vista-is-it-on-or-off.aspx). Como probablemente te suene a chino esto del modo protegido, puedes documentarte en http://msdn.microsoft.com/en-us/library/bb250462(VS.85).aspx. Este modo viene activado por defecto en la zona de seguridad de Internet sólo en Windows Vista, Windows 7 y Windows Server 2008.
  2. Emplea la funcionalidad Network Protocol Lockdown del navegador. Puedes activarlo y desactivarlo en http://support.microsoft.com/kb/980088.
  3. En la configuración por zonas, establece el nivel de seguridad tanto para Internet como Intranet en ALTO, con lo que se impedirá la ejecucion de scripts y controles ActiveX. Nótese que esto puede tener implicaciones en ciertas aplicaciones Web que usen estos componentes.
  4. Desactiva el scripting activo para las zonas Internet e Intranet Local manualmente, estableciendo una configuración de las mismas de tipo personalizado.

Si por alguna razón no comprendes el trasfondo de estas posibles soluciones (lo cual no me extrañaría lo más mínimo) o si tienes dudas sobre su utilización, lo más sensato, hasta que se publique un parche, es no usar Internet Explorer a la hora de visitar páginas que no sean de nuestra más exclusiva confianza. Un navegador alternativo es recomendable en estos casos.

Un saludo,

Sobre la última vulnerabilidad de Internet Explorer: consejos prácticos para usuarios

Buenas,

Lo que comenzó siendo un affaire entre Google y China va tomando dimensiones cada vez más relevantes. Aunque aparentemente sólo Google y Adobe Systems han confirmado oficialmente haber sufrido ataques especialmente dirigidos al robo de propiedad intelectual, la lista de empresas notorias afectadas parece contener otros selectos miembros entre los que se se podrían encontrar Symantec, Yahoo! y Dow Chemical, entre un total de 34 organizaciones.

Entre tanto, los responsables del producto siguen sin tener claro cómo atajar el problema, motivo por el que empiezan a oirse voces relevantes, como la del propio Gobierno alemán, que dice lo que nadie se atreve a decir: en estos precisos momentos, el consejo a dar a los usuarios de Internet Explorer es dejar de usarlo hasta que las condiciones de seguridad estén mínimamente garantizadas para los usuarios.

Para poner las cosas todavía más difíciles, apuntan en ISC SANS que el código ha sido finalmente publicado, y que el origen del problema es una vulnerabilidad en mshtml.dll, componente del navegador encargado de renderizar las páginas en Internet Explorer. Este código malicioso funciona plenamente en Internet Explorer 6, pero que en caso de tener Data Execution Protection (DEP) activado para el navegador, parece que el exploit no ejecuta código en las versiones 7 y 8.

Como es habitual una vez que un exploit es liberado públicamente, ha faltado poco para que los chicos de Metasploit incluyan el código en sus herramientas para que los responsables de seguridad puedan evaluar en cada caso particular si sus sistemas están afectados.

Consejos prácticos para usuarios

Orientativamente, porque siempre puede haber despliegues en los que DEP esté descativado para Internet Explorer, este modelo de protección fue introducido en Windows XP Service Pack 2, aunque desde estas líneas invito a los lectores a usar Metasploit para verificar su estado de vulnerabilidad. Aquellos que no tengan el conocimiento suficiente, deberían intentar consultar la tabla ofrecida por el fabricante, en la que se consideran vulnerables las combinaciones Windows 2000 y Windows XP con Internet Explorer 6, y potencialmente vulnerables las instalaciones de Windows XP e Internet Explorer 7.

De todos modos, todo lo anterior está condicionado a que DEP para Internet Explorer esté activado, y eso sólo ocurre por defecto en Internet Explorer 8 que corran bajo XP Service Pack 3, Windows Vista Service Pack 1 y superiores, así como en Windows 7. A modo de resumen, toma nota de las siguientes recomendaciones:

  • Si careces de conocimiento técnico suficiente o tienes dudas, no utilices Internet Explorer. Haz uso de un navegador alternativo hasta que el fabricante distribuya un parche para su problema. Deberías recibir un aviso de la disponibilidad del parche en las actalizaciones de Windows (las cuales espero tengas activadas en modo automático). ¿Cuándo sucederá esto? No lo sé, como muy tarde, debería distribuirse el parche antes del próximo 12 de febrero, en el ciclo de actualizaciones mensual de Microsoft, aunque no es descartable que la solución esté disponible antes.
  • Si tienes conocimiento suficiente y quieres/necesitas Internet Explorer, habilita DEP para el navegador, y deshabilita el soporte para JavaScript en Internet Explorer (advertencia, esto tiene un impacto elevado en el funcionamiento de la mayoría de los sitios). Siempre que la compatibilidad con tus sitios Web y aplicaciones te lo permitan, trata de que el producto esté lo más actualizado posible, lo que significa especialmente alejarse de Internet Explorer 6.

Señoras y señores: lo de Google es sólo la punta del iceberg. El amigo George Kurz está haciendo un seguimiento en vivo en Twitter más que recomendable al hilo de este enorme problema que puede tener implicaciones mucho más severas que las que hoy en día conocemos.

Un saludo, y no dejéis de comentar vuestras dudas.