Tag Archive: Internet Explorer


windows-7-home-premium-green

Según un estudio publicado por Avecto, compañía líder en la gestión de privilegios, el 96 % de las vulnerabilidades críticas de Windows se pueden mitigar eliminando los privilegios de administración de las cuentas de usuario. El informe se ha elaborado en base a los datos de los boletines de seguridad publicados por Microsoft en 2013.

El documento de 21 páginas en formato PDF, que se puede descargar mediante registro, señala que trabajar con cuentas de usuario sin privilegios de administración puede mitigar el 92% de todas las vulnerabilidades graves reportadas por Microsoft, el 91% de las vulnerabilidades que afectan a Microsoft Office y el 100% de todas las vulnerabilidades que afectan a Internet Explorer.

 Aunque el estudio pueda tener cierto sesgo, teniendo en cuenta el tipo de servicios que comercializa Avecto, lo cierto es que pone de manifiesto que, en gran medida, la inseguridad de los productos Microsoft está vinculada a las prácticas poco ortodoxas de sus usuarios.

Este riesgo se acentúa en las empresas, donde es costumbre casi habitual conceder permisos administrativos a las cuentas de usuario por comodidad, cuando normalmente no los necesitan. Costumbre que conocen bien y explotan los creadores de malware.

La restricción de permisos por defecto a cuentas que no requieren efectuar tareas de administración, es un sistema que han adoptado los sistemas operativos tipo *NIX; fórmula que les dota de un buen nivel de seguridad de facto.

El usuario de Windows tiene esa misma posibilidad desde hace muchos años, pero no suele hacer uso de ella. Las cifras del estudio invitan a un cambio de mentalidad por parte de los usuarios de Microsoft. Más vale la incomodidad de tener que introducir una contraseña de vez en cuando, que tener la puerta abierta al malware de forma permanente.

Fuente | Genbeta

“Una investigadora ha descubierto una técnica de cookiejacking que afecta a todas las versiones de Internet Explorer en Windows”

Una investigadora de seguridad ha descubierto un medio de hacerse con información sensible a partir de cookies en Internet Explorer. Esta técnica de cookiejacking podría poner en peligro las credenciales de Facebook, Gmail, Twitter o de otros servicios online, sin embargo, desde Microsoft no consideran que se trate de una amenaza real. Así que, ¿estamos ante una verdadera amenaza? ¿No hay de qué preocuparse? ¿O hay un riesgo real en todo esto?

La investigadora de seguridad Rosario Valotta ha demostrado recientemente esta técnica de cookiejacking, que afecta a todas las versiones de Internet Explorer que funcionen en cualquier versión de Windows, así que la cantidad de posibles víctimas es más que significativa.

> ¿Qué es una cookie?

Una cookie es un pequeño archivo de texto utilizado por un navegador web o aplicación para almacenar información como las preferencias de la página o las credenciales de la cuenta de usuario para acceder a la web.

> ¿Qué es cookiejacking?

La técnica explota un fallo que sobrepasa la protección de la Zona de Seguridad en Internet Explorer para permitir al atacante capturar los contenidos de las cookies que no deberían ser expuestos.

> ¿Qué está en peligro?

La mayoría de los archivos de texto contienen información que sería de poco valor. Pero si te has registrado en una página como Facebook, Twitter o Gmail, las cookies se utilizan para almacenar información de las cuentas de los usuarios necesaria para autentificarse, de modo que no tienes que introducir tu nombre y contraseña repetidamente. Si un atacante puede hacerse con estas cookies, podrían hacerse pasar por ti en tu cuenta o acceder a datos sensibles de la página o servicios afectados.

> ¿Es una amenaza seria?

El ataque no es trivial. El actual cookiejacking es simplemente una pieza de un gran puzle que requiere diferentes técnicas de ataque y engaña al usuario para que se convierta en un participante de todo ello sin saberlo.

Jerry Bryant, de Microsoft, ha minimizado la amenaza basada en la complejidad del ataque y el nivel de interacción del usuario requerido para que funcione. “Para que impacte a un usuario, éste debe visitar una página web maliciosa, ser engañado para hacer clic y arrastrar objetos en la página y el atacante necesitará dirigirse a una cookie de la página web a la que previamente haya accedido el usuario”.

Aunque todo esto es verdad, lo cierto es que muchos usuarios hacen clic en la caja que dice “mantenme conectado”, así que no tienen que introducir de nuevo sus credenciales cada vez que visitan páginas como Facebook y, de hecho, es bastante simple engañar a los usuarios para que hagan clic. Valotta creó un juego para Facebook en el que los usuarios hacían un puzle de una mujer desnuda y de ese modo consiguió las cookies de muchos de ellos.

> ¿Qué deberíamos hacer?

Sí, es cierto, no es el fin del mundo. La ejecución exitosa de un ataque cookiejacking para conseguir datos sensibles no necesita de gran cantidad de interacción por parte del usuario y, con suerte, los usuarios informados no caerán en la trampa.

La técnica cookiejacking funciona con poca cooperación del usuario y con más de 500 millones de usuarios de Facebook jugando todo tipo de estúpidos juegos, no es una exageración pensar que un significativo número de usuarios podría caer en el ataque utilizando ingeniería social.

Microsoft, por su parte, no considera que el asunto cookiejacking sea una amenaza lo suficientemente grande como para justificar una urgencia, pero al parecer está trabajando para lanzar una solución que estaría disponible en los próximos meses. Mientras tanto, no está de más tomar alguna precaución y no hacer clic en cosas solamente porque alguien te lo pide.

Fuente

Así al menos lo afirma un investigador de Google. Microsoft ha pedido a un ingeniero de seguridad de Google que retrasara el lanzamiento de su fuzzer. (Herramienta para detección de vulnerabilidades)

Una filtración accidental podría haber confirmado las sospechas de que hackers chinos están detrás de la vulnerabilidad crítica aún no resuelta de IE. Desde Microsoft han informado que están analizando la vulnerabilidad.

“Tengo razones para creer que la vulnerabilidad explotable es detectable por cross_fuzz”, ha declarado Zalewski, refiriéndose a la utilidad fuzzing “cross_fuzz” que él mismo ha creado.

Según el relato de Zalewski, un desarrollador que trabaja en WebKit, el motor del navegador de código abierto que está detrás del Safari de Apple y del Chrome de Google, “se filtró accidentalmente” la localización de la herramienta fuzzing no presentada en ese momento. El motor de búsqueda de Google luego añadió esa ubicación a su índice.

“El 30 de diciembre recibí consultas de búsqueda de una dirección IP en China, que coincidía con las palabras clave que mencionaba en uno de los archivos indexados de cross_fuzz”, explica Zalewski.

Esas búsquedas estaban intentando encontrar información en un par de funciones en “Mshtml.dll”, el motor de búsqueda de IE, que según Zalewski eran únicas para la vulnerabilidad, y que “de las que no había absolutamente ninguna otra mención en Internet en ese momento”.

La persona o personas que estaban buscando las funcionalidades luego se descargaron los archivos cross_fuzz disponibles.

“Esto es muy indicativo de un descubrimiento independiente del fallo en IE por medios independientes, pues otras explicaciones a estas dos búsquedas consecutivas parecen muy improbables”.

Zalewski lanzó cross_fuzz el sábado, incluso aunque Microsoft no había aún resuelto ninguno de los fallos de IE. Otros fabricantes de navegadores, como Mozilla y Opera, así como el equipo WebKit, habían resuelto algunos, aunque no todos, de los fallos que había encontrado Zalewski utilizando cross_fuzz.

Microsoft pidió a Zalewski que retrasara el lanzamiento de cross_fuzz, pero se negó, en parte por su temor a que la vulnerabilidad de IE ya estuviera siendo explorada por los hackers chinos, pero también porque los expertos de seguridad de la compañía no le habían respondido a la información que les había proporcionado.

“Puesto que Microsoft no me ha proporcionado una explicación de porqué estos problemas no habían podido ser investigados antes, he rechazado la petición de que retrasara la liberación de mi utilidad”.

En una cronología detallada de su intercambio de comunicados con Microsoft, Zalewski ha explicado que informó primero sobre sus descubrimientos y proporcionó una versión previa de cross_fuzz en julio. Según su versión, Microsoft no le contestó hasta que les dijo el 20 de diciembre que tenía previsto revelar la herramienta fuzzing a principios de enero.

“Tuve una conference call con MSRC (Microsoft Security Response Center) el 28 de diciembre. El equipo me expresó su preocupación sobre el impacto que podría tener, sugiriéndome que los cambios hechos a mi código durante julio y diciembre podrían no cubrir problemas nuevos que explicarían por qué no habían sido capaces de reproducirlos antes”.

Un día después, Microsoft admitió que no era capaz de reproducir los fallos que había encontrado el fuzzer utilizando el código de julio.

“El equipo de IE ha puesto examinado exhaustivamente los fuzzers, pero no ha sido capaz de encontrar los mismos problemas”, le comunicaron a Zalewski desde Microsoft el pasado 29 de diciembre. “Realmente no puedo decir por qué somos capaces de llegar a algunas de estas condiciones ahora y no antes, pero, por favor, tenga en cuenta que no es algo intencionado”.

La versión de Microsoft omite la mayor parte de los detalles que sí proporciona Zalewski, incluyendo el hecho de que fue capaz el mes pasado de reproducir la vulnerabilidad utilizando el fuzzer que tenía desde hacía cinco meses.

“En julio, ni Microsoft ni el investigador de seguridad de Google identificaron ningún problema”, ha explicado Jerry Bryant, portavoz de MSRC. “El 21 de diciembre, una nueva versión de la herramienta nos fue comunicada junto con información sobre un fallo potencialmente explotable encontrado en la nueva versión. Nos pusimos a trabajar inmediatamente para reproducir el problema con la actualización y la herramienta original y lo estamos investigando más a fondo para determinar si actualmente también es explotable”.

Microsoft y los investigadores de seguridad de Google ya han tenido algún encontronazo en el pasado. En verano, Tavis Ormandy, de Google, publicó el código de un fallo del Centro de Ayuda y Soporte de Microsoft después de que, según su versión, Microsoft rechazara establecer una fecha para su resolución.

Fuzzing es una práctica de búsqueda común para localizar vulnerabilidades y encontrar fallos en código. Un fuzzer automatiza la técnica mediante la introducción de datos en aplicaciones o en componentes del sistema operativo para ver si ocurren los problemas y dónde.

La vulnerabilidad que Zalewski encontró y que Microsoft afirmó estar investigando al parecer no está relacionada con el fallo sin resolver de IE que luego sí confirmó el 22 de diciembre.

Fuente

A %d blogueros les gusta esto: