Más problemas para Internet Explorer: Dos nuevas vulnerabilidades permiten la obtención remota de ficheros del sistema

Buenas,

Definitivamente 2010 no ha empezado con buen pie para Internet Explorer. Si hace poco vivía un 0-day con importantes consecuencias para la seguridad, ahora tenemos en lo alto de la mesa un problema moderadamente crítico (definitivamente menos relevante que el anterior) que sin embargo vuelve a requerir por parte de los usuarios una atención especial.

Los amigos de Core Security descubrieron tiempo atrás un par de problemas (uno tiene que ver con la etiqueta de objetos dinamicos y el otro con URLMON) que ahora han hecho públicos, mediante los cuales un atacante podría extraer información sensible almacenada en ficheros locales de un sistema Windows siempre y cuando el usuario emplease una versión vulnerable y visitase una página especialmente conformada. No se necesita intervención alguna del usuario mas allá de visitar la pagina maliciosa, si bien este problema no permite (afortunadamente) comprometer el sistema en su totalidad como ocurriera con el exploit Aurora.

Quizás sea reseñable indicar que estas vulnerabilidades son, en palabras de los descubridores, una variación de otros problemas descubiertos anteriormente por Core (CoreLabs Security Advisories CORE-2008-0103 y CORE-2008-0826), lo que quizás sirva para reavivar el eterno debate sobre si los parches que ofrecen los fabricantes solventan siempre los problemas de raíz o si por el contrario, son paños de agua caliente para salir del paso.

No hay parche disponible para estas vulnerabilidades y Microsoft ha documentado el correspondiente Security Advisory en el que se comentan los posibles medidas de mitigación y donde la compañia deja entrever que no descarta publicar un parche fuera de ciclo (out-of-band) al respecto.

¿Es mi versión de Internet Explorer vulnerable?

De acuerdo a la información liberada por los descubridores, la relación de versiones vulnerable es la que sigue:

  • Internet Explorer 5.01 SP4 corriendo en Windows 2000 SP4
  • Internet Explorer 6 SP1 corriendo en Windows 2000 SP4
  • Internet Explorer 6 SP2 corriendo en Windows XP SP2
  • Internet Explorer 6 SP2 corriendo en Windows XP SP3
  • Internet Explorer 7 corriendo en Windows XP SP2
  • Internet Explorer 7 corriendo en Windows XP SP3
  • Internet Explorer 7 corriendo en Windows Vista SP1
  • Internet Explorer 7 corriendo en Windows Vista SP2
  • Internet Explorer 7 corriendo en Windows Server 2003 SP2 si el modo protegido está desactivado y no se usa la configuración mejorada de seguridad
  • Internet Explorer 7 corriendo en Windows Server 2008 si el modo protegido está desactivado y no se usa la configuración mejorada de seguridad
  • Internet Explorer 8 corriendo en Windows XP SP2
  • Internet Explorer 8 corriendo en Windows XP SP3
  • Internet Explorer 8 corriendo en Windows Vista SP1 si el modo protegido está desactivado
  • Internet Explorer 8 corriendo en Windows Vista SP2 si el modo protegido está desactivado
  • Internet Explorer 8 corriendo en Windows 7 si el modo protegido está desactivado
  • Internet Explorer 8 corriendo en Windows Server 2003 SP2 si el modo protegido está desactivado y no se usa la configuración mejorada de seguridad
  • Internet Explorer 8 corriendo en Windows Server 2008 R2 si el modo protegido está desactivado y no se usa la configuración mejorada de seguridad

No son vulnerables las siguientes configuraciones:

  • Internet Explorer 7 corriendo en Windows Vista, Windows Server 2003 o Windows 7 si el modo protegido está activado
  • Internet Explorer 8 corriendo en Windows Vista o Windows Server 2003 si el modo protegido está activado
  • Internet Explorer 8 corriendo en Windows Server 2003 si el modo protegido está activado
  • Internet Explorer 8 corriendo en Windows 7 o Windows Server 2008 R2 si el modo protegido está activado

Lo que debes hacer si usas Internet Explorer

Lo primero es leete el Microsoft Security Advisory (980088): http://www.microsoft.com/technet/security/advisory/980088.mspx.

Una vez te lo hayas leído puedes aplicar alguna de las siguientes acciones de mitigación (no es necesario ejecutarlas todas)

  1. Asegúrate de ejecutar Internet Explorer con el modo protegido activado, si es que tu sistema operativo lo permite y si entiendes las limitaciones que se pueden producir al usarlo (http://blogs.msdn.com/ie/archive/2007/04/04/protected-mode-for-ie7-in-windows-vista-is-it-on-or-off.aspx). Como probablemente te suene a chino esto del modo protegido, puedes documentarte en http://msdn.microsoft.com/en-us/library/bb250462(VS.85).aspx. Este modo viene activado por defecto en la zona de seguridad de Internet sólo en Windows Vista, Windows 7 y Windows Server 2008.
  2. Emplea la funcionalidad Network Protocol Lockdown del navegador. Puedes activarlo y desactivarlo en http://support.microsoft.com/kb/980088.
  3. En la configuración por zonas, establece el nivel de seguridad tanto para Internet como Intranet en ALTO, con lo que se impedirá la ejecucion de scripts y controles ActiveX. Nótese que esto puede tener implicaciones en ciertas aplicaciones Web que usen estos componentes.
  4. Desactiva el scripting activo para las zonas Internet e Intranet Local manualmente, estableciendo una configuración de las mismas de tipo personalizado.

Si por alguna razón no comprendes el trasfondo de estas posibles soluciones (lo cual no me extrañaría lo más mínimo) o si tienes dudas sobre su utilización, lo más sensato, hasta que se publique un parche, es no usar Internet Explorer a la hora de visitar páginas que no sean de nuestra más exclusiva confianza. Un navegador alternativo es recomendable en estos casos.

Un saludo,

0 day en Internet Explorer. La protección DEP y sus limitaciones

Buenas,

Por hacer un poco de seguimiento al tristemente famoso último 0 day en Internet Explorer, comentaros que la compañía ha habilitado un portal específico para asesorar a los usuarios del navegador. No es que contenga gran cosa, pero algo es algo.

Algunas fuentes que dan por sentado que Microsoft ofrecerá un parche fuera de su ciclo de actualizaciones, y alguno que otro ha salido a la palestra reivindicando que ha modificado el exploit para dar más cobertura a otras versiones. En ambos casos no veo información suficiente para creerme ni lo primero ni lo segundo, aunque obviamente sería deseable que el parche estuviera a disposición de los usuarios lo más rápido posible y que finalmente las modificaciones del ataque no afecten a las versiones que en este momento se consideran seguras.

La compañía ha hecho también público un magnífico artículo en el que clarifica un poco la situación, y cuya lectura recomiendo a todos los que usen Internet Explorer porque explica muy correctamente en qué se basa la protección DEP (Data Execution Prevention), cuya activación se está recomendando para evitar los efectos del exploit. Por resumir un poco, Microsoft está instando a los usuarios a actualizar a su última versión ya que DEP viene activado por defecto en las siguientes combinaciones:

  • Internet Explorer 8 en Windows XP Service Pack 3
  • Internet Explorer 8 en Windows Vista Service Pack 1 y posteriores
  • Internet Explorer 8 en Windows Server 2008
  • Internet Explorer 8 en Windows 7

Si se dispone de cualquier otra combinación, hay que activar DEP para Internet Explorer empleando la herramienta que está disponible en este enlace, salvo en los casos en los que no sea posible (Por ejemplo, Windows 2000 no permite el soporte DEP)

En el artículo también se proporciona un vídeo en el que se explica con meridiana claridad en qué se basa la dualidad softwarehardware en DEP, así como los cuatro requisitos básicos que son necesarios para que DEP pueda protegernos de ataques en los que se pretende ejecutar código:

  • Disponer de una CPU con soporte DEP (XD en Intel y NX en AMD) algo presente en la práctica totalidad de procesadores vendidos desde hace unos 6 – 8 años.
  • La necesidad de que esta tecnología esté activa en la BIOS (parece ser que aunque DEP esté soportado en el hardware, no siempre viene activado en la BIOS, aunque me inclino a pensar que estos casos son anecdóticos)
  • Que tu sistema Windows tenga soporte para DEP y pueda hacer uso del soporte DEP hardware (En el caso de Windows, hablamos de XP SP2, XP SP3, 2003 SP1, Vista, 2008 y Windows 7)
  • Y por último, que la aplicación (en este caso Internet Explorer 8) pueda hacer uso de DEP, cosa que sólo ocurre por defecto, tal y como hemos comentado, en XP SP3, Vista SP1, 2008 y Windows 7

En el vídeo también se explica cómo verificar, a través de Process Explorer, si Internet Explorer está haciendo uso de DEP (ya que DEP se activa o no a nivel proceso, independientemente de la capa aplicación). Para ello hay que irse al menú View, opción Select Columns y en la pestaña Process Image, marcar DEP Status. También es recomendable leer este artículo para saber en qué estado está DEP en el equipo.

Por último recalcar que DEP no es la panacea, ya que existen (y son conocidos públicamente) mencanismos basados en clases .NET para saltarse la protección DEP. Lo bueno que tiene Internet Explorer 8 es que no permite el uso de esas clases en la zona Internet, pero ojito: sí se permiten en la zona Intranet, con lo que un atacante que coloque dicho bypass en una red corporativa podría anular la protección DEP, en cuyo caso todas las versiones del navegador serían vulnerables. Es por esta razón que sigo pensando que, en ausencia de parche, lo más prudente es no utilizar Internet Explorer salvo que se tenga un control absoluto y un conocimiento muy preciso de la situación en todo momento, lo cual provoca un serio problema para los sistemas corporativos que por una razón u otra, sólo funcionan con Internet Explorer (ERPs, CRMs y plataformas con acceso Web similares). Especialmente grave el caso de aquellos despliegues en los que ni siquiera se puede emplear Internet Explorer 8 por problemas de compatibilidad con distintas plataformas, en cuyo caso sólo queda santiguarse y salir al campo con la esperanza de que no nos metan un gol por la escuadra hasta que árbitro pite el final del partido (y nos entregue un parche oficial)

Un saludo,