1

Core Security Technologies descubrió una vulnerabilidad en Internet Explorer

core-security-technologies-descubrió-una-vulnerabilidad-en-internet-explorer

Los usuarios podrían estar expuestos a ataques online cuando visitan URLs infectadas.

Core Security Technologies, proveedor de CORE IMPACT -el producto más completo para evaluar la seguridad a nivel corporativo-, anunció el descubrimiento de una vulnerabilidad que puede afectar a individuos y empresas que utilicen el navegador web Internet Explorer de Microsoft.

Uno de los consultores de seguridad informática trabajando con CoreLabs, el brazo de investigación de la compañía, descubrió que, en algunos casos, cuando versiones afectadas de Internet Explorer son utilizadas para acceder a un sitio web externo, el navegador no hace uso de los permisos de seguridad apropiados, permitiendo de esta forma que sitios o aplicaciones desconocidas sean considerados como URLs confiables. 

Esta falla puede conducir a que páginas web maliciosas o infectadas ejecuten remotamente scripts en los sistemas corriendo las versiones afectadas de IE sin el conocimiento o permiso de los usuarios.

“Este es una amenaza tangible para las personas u organizaciones que utilizan Internet Explorer para navegar en la web, y el descubrimiento de esta vulnerabilidad en IE puso de relieve que ninguna empresa es inmune a los riesgos de seguridad de las aplicaciones”, comentó Iván Arce, CTO de Core Security Technologies. “Este problema también ilustra el hecho de que serie de fallas aparentemente no relacionadas puede ser combinada para construir ataques que resultan efectivos fuera del escaso alcance de explotación de una falla singular. Asimismo, las alternativas disponibles demuestran que, más allá de la simple instalación de parches, una combinación de defensas de seguridad y estrategias de mitigación puede prevenir ataques de manera eficaz”.

Detalles de la vulnerabilidad

CoreLabs inicialmente descubrió la vulnerabilidad en Internet Explorer como parte de sus continuas tareas de investigación. La falla afecta, específicamente, a las versiones 5, 6 y 7 de IE de Windows 2000/2003/XP y Vista. Aunque la vulnerabilidad esté vigente, no puede ser aprovechada cuando una versión vulnerable de IE es usada en un modo de mayor seguridad llamado “Modo Seguro” (habilitado por defecto en IE de Windows Vista). Al momento del reporte original, Internet Explorer 8, en la versión beta, también fue encontrado vulnerable. Sin embargo, el problema fue resuelto en la versión lanzada comercialmente.

Internet Explorer utiliza una funcionalidad conocida como “Zonas Seguras para URL” (URL Security Zones), que define una serie de privilegios para websites y aplicaciones dependiendo de su aparente nivel de su confiabilidad. Estas son: Zona de Internet, Zona Local de Intranet, Zona de Sitios Confiables (para URLs que son consideradas más fiables), Zona de Sitios Restringidos (para sitios web con un contenido que puede causar o haya causado previamente problemas) y Zona de Equipo Local (una zona especial ilimitada que es utilizada sólo por componentes internos del sistema operativo).

Los usuarios de Internet Explorer pueden asignar sitios web o dominios específicos a cualquiera de las zonas disponibles excepto en Zona de Equipo Local. La capacidad de un website de realizar acciones que puedan comprometer la seguridad en el navegador está determinada por el nivel de seguridad de la zona a la cual fue asignado el sitio. Cada zona puede ser articulada a un solo nivel de los tres existentes (Medio, Medio-Alto o Alto), o uno personalizado por el usuario o el administrador del sistema.

Por defecto, todos los websites que no están definidos para la Zona de Intranet ni explícitamente listados en los Sitios Restringidos o Zona de Sitios Confiables, son asignados a Zona de Internet, que tiene un nivel Medio-Alto de seguridad. En consecuencia, para la mayoría de los usuarios de IE, las acciones de seguridad críticas que un navegador puede ejecutar mientras está conectado a un sitio son las permitidas por la política de seguridad de la Zona de Internet en el nivel Medio-Alto.

Una vulnerabilidad que le permite a un sitio web ejecutar acciones que no son las permitidas por el nivel de seguridad de una zona determinada es conocida como “bypass de una zona de seguridad”. Dicha falla habilitaría a eludir políticas de seguridad, por ejemplo, restricciones de seguridad de sólo poder realizar acciones sobre el dominio de origen de la página visitada.    

La explotación de la vulnerabilidad permite a un atacante acceder a información crítica de seguridad y privacidad, como datos de autenticación, cookies de HTTP y otros detalles del estado de la sesión de HTTP, como también el contenido de cualquier archivo local del sistema. Para ejecutar un ataque exitoso, el atacante deberá, además, obtener o averiguar el nombre de usuario de quien visita la página web afectada que le permitirá conocer la ruta de acceso exacta del contenido almacenado en caché. En este contexto, la falta de controles de trafico SMB saliente, fallas que posibiliten la obtención de nombres de usuarios o un ataque simple de fuerza bruta de nombres de usuarios conocidos pueden facilitar los ataques.

La explotación activa puede ser prevenida utilizando una serie de alternativas, como la configuración del Nivel de Seguridad como Alto para la Zona de Internet  (y, si es necesario, para la Zona de Intranet); deshabilitando los controles ActiveX y los scripting para la Zona de Internet; utilizando la herramienta de control Protocol Lockdown de Internet Explorer para restringir el uso del protocolo “file:”; o ejecutando IE bajo el “Modo Seguro” cuando está disponible. Estas opciones pueden limitar o interrumpir el funcionamiento de ciertas aplicaciones web que requieren de acciones que pueden comprometer la seguridad para operar correctamente.

Esta vulnerabilidad es una variante de una falla similar catalogada por Microsoft como un problema del Outlook Express/ Windows Mail que involucraba incluir código HTML en el contenido de las cookies de HTTP y forzar remotamente al IE a procesarlo. Fue reportada por el equipo de Core Security Technologies a la empresa en enero de 2008, y luego publicada, en coordinación con el lanzamiento del parche correspondiente creado por Microsoft, en agosto de 2008 como Advertencia de Seguridad  CORE-2008-0103.

Microsoft recibió y reconoció el reporte de esta vulnerabilidad en octubre de 2008, solucionada para el lanzamiento de la versión 8 de Internet Explorer, y emitió un parche de seguridad para las otras versiones vulnerables de IE.

Información sobre este parche y el boletín de seguridad publicado por la empresa pueden ser consultados en http://go.microsoft.com/fwlink/?LinkID=150860

Para más información sobre esta vulnerabilidad y los sistemas afectados, por favor visite http://www.coresecurity.com/content/ie-security-zone-bypass

Esta vulnerabilidad fue descubierta e investigada por Jorge Luis Álvarez Medina del equipo de Servicios de Consultoría de Seguridad de Core Security Technologies.

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.