Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Falsificación de URL en Internet Explorer: Alto Riesgo
 
VSantivirus No. 1254 Año 8, Sábado 13 de diciembre de 2003

Falsificación de URL en Internet Explorer: Alto Riesgo
http://www.vsantivirus.com/vul-arroba3.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy


En VSA 1252 (ver "Una nueva forma de usar una vieja falla", http://www.vsantivirus.com/vul-arroba2.htm), mencionábamos la falla del Internet Explorer, que permite falsificar una dirección por medio de la inclusión de una arroba en cualquier URL.

En dicho artículo, comprobábamos la vulnerabilidad tal cuál fue anunciada en varias listas de seguridad, con la mención de que el uso, tal como se demostraba en una página Web, ocurría con la utilización de HTML dinámico.

Sin embargo, existe otra forma de aprovechar esta vulnerabilidad, que recurre a la inclusión del carácter ASCII 01, antes de la arroba, seguido de los caracteres %00, tal como lo demuestra una página creada por el laboratorio de Hispasec en un artículo reciente (ver "Falsificación de URL y ataque DoS recursivo en Internet Explorer", http://www.hispasec.com/unaaldia/1873).

En este caso, el Internet Explorer (al menos en todas las versiones superiores a la 5.5), tenga o no habilitados los ActiveX, es engañado, y muestra tanto cuando se pone el cursor sobre la falsa URL, como en la barra de direcciones cuando se accede a dicha URL, la dirección equivocada, confundiendo totalmente al usuario desprevenido.

Por ejemplo, veamos una página cuyo enlace está formado por el siguiente código fuente (donde el carácter representado por [1] es el ASCII 01):

href="http://www.bbva.es[1]%00@www.hispasec.com/[etc.]..."

Entonces, si en el IE se pasa el cursor sobre el URL mostrado (www.bbva.es), en la barra de estado (abajo), es visible solo dicha dirección, y no la verdadera (www.hispasec.com/[etc.]...).

Si se hace clic sobre el enlace, se accede a la dirección verdadera (la que está después de la arroba, o sea "www.hispasec.com/[etc.]..."), pero en la barra de direcciones se muestra la falsa:

Hicimos la misma prueba con otro navegador, en este caso el Opera.

Si se coloca el cursor sobre el falso enlace, en la barra de estado se muestra la URL completa, lo que debería servir como señal de alerta a un usuario cuidadoso:

Si se hace clic sobre el enlace, en el caso del Opera, aparece una ventana de advertencia:

Si se acepta, como ocurre con el Internet Explorer, el usuario es llevado a la página verdadera, pero a diferencia del IE, en la barra de direcciones se muestra la URL completa, y no solo la falsa:

Otros navegadores (como Mozilla), también actúan en forma más o menos similar al Opera, y si bien pueden acceder al enlace detrás de la arroba, tanto en la barra de direcciones como en la de estado, muestran todo el URL, incluida la arroba y los caracteres extras.

Tal como está planteada, esta falla puede ser muy crítica si no se toman las precauciones debidas. Es muy probable que surjan pronto nuevos "scams" como los reportados en nuestra página de hoaxes; falsos sitios de estafadores que pretendan lograr beneficios mediante el engaño, haciéndose pasar por sitios legales, en los que el usuario podría dejar datos sensibles, como el número de su tarjeta de crédito, etc.

La única precaución posible, es no aceptar enlaces de ningún tipo a sitios en donde se tenga que dejar cualquier clase de información que pueda ser crítica, y solo utilizar los sitios originales. Tenga en cuenta que esto puede darse también en otros navegadores, con la salvedad que se muestra el URL completo (en ese caso, como ya lo hemos dicho en otras oportunidades, debemos desconfiar de cualquier enlace a una dirección de Internet que contenga una arroba).

Además de esta falla, se ha descubierto otra relacionada con una vulnerabilidad provocada por la apertura recursiva de sucesivas ventanas del Internet Explorer, lo que causa el rápido agotamiento de recursos disponibles, con el posible cuelgue del programa y de Windows (un ataque de denegación de servicio).

En este caso, no hay otro riesgo que la posible pérdida de los datos que no hayan sido grabados al momento del cuelgue.

Para ninguna de las dos vulnerabilidades descriptas (que se suman a otras descubiertas en noviembre), existen parches previstos, y se ignora si Microsoft publicará alguna actualización urgente, rompiendo su esquema de publicaciones mensuales. Aunque, como ya se ha dicho aquí mismo, este mes no se publicó ningún parche en la fecha prevista (ver "En diciembre, sin Windows 98 y sin parches", http://www.vsantivirus.com/10-12-03.htm).


Más información:

Falsificación de URL y ataque DoS recursivo en Internet Explorer
http://www.hispasec.com/unaaldia/1873

Una nueva forma de usar una vieja falla
http://www.vsantivirus.com/vul-arroba2.htm

¿@ en un URL? Algo me huele mal
http://www.vsantivirus.com/gm-arroba-url.htm

Otra falla no corregida en Internet Explorer
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=354

Internet Explorer URL parsing vulnerability
http://www.securityfocus.com/archive/1/346948/2003-12-10/2003-12-16/1

En diciembre, sin Windows 98 y sin parches
http://www.vsantivirus.com/10-12-03.htm

Cinco fallas en el IE que comprometen la seguridad
http://www.vsantivirus.com/27-11-03.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS