Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 17 de marzo de 2007

VULNERABILIDAD EN IE7 POR ERROR DE DISEÑO

Internet Explorer 7 posee una vulnerabilidad del tipo Cross-Site-Scripting (XSS) en uno de sus recursos locales.

Debido a un error de diseño del navegador, dicha vulnerabilidad podría ser utilizada por un atacante para llevar a cabo un ataque de phishing (suplantación de un sitio web legítimo).

Una vulnerabilidad XSS permite eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios. Esto es válido para cualquier sitio web o para un archivo local.

NAVCANCL.HTM es un recurso local que IE utiliza cuando por alguna razón se cancela la navegación (Exploración cancelada). Cuando ello ocurre, la dirección (URL) de la página cancelada, es proporcionada a un script local después del símbolo numeral (#), de la siguiente manera:

res://ieframe.dll/navcancl.htm#[URL cancelada]

El script (httpErrorPagesScripts.js, que es parte del sistema), permite que el usuario pueda ir a la página cancelada, si hace clic en el enlace "Actualice la página." que se muestra (ver imagen más adelante).

Debido a la vulnerabilidad, es posible inyectar otro script en el enlace proporcionado, que también se ejecutaría cuando el usuario haga clic en el link "Actualice la página." Debido a que Internet Explorer 7 ejecuta sus propios recursos locales en la zona de seguridad "Internet" (más restrictiva que la "Zona local" o "Mi PC" de versiones anteriores), esta vulnerabilidad no puede ser utilizada para la ejecución remota de código.

Sin embargo, por un error de diseño, cuando NAVCANCL.HTM se ejecuta, la dirección del sitio que se incluye después del numeral, es mostrada en la barra de direcciones (seguida de otro código que no siempre es una señal clara de alerta para un usuario desprevenido).

Una prueba de concepto, muestra como un atacante podría crear un enlace malicioso, que al ser cancelado lanzaría un script que desplegaría en la barra de direcciones un contenido que no sería el verdadero, pero que podría parecerlo. Por ejemplo, podría mostrarse el enlace real a un banco, pero cuando el usuario haga clic en "Actualice la página", en realidad sería redirigido a un sitio falso.
En la prueba de concepto, se simula que el enlace apunta a CNN.COM, cuando ello no es así.


No se ha demostrado si el filtro anti-phishing del IE7, en caso de estar habilitado, podría ayudar a evitar el engaño, pero tampoco se ha comprobado lo contrario. Son afectadas las versiones de Internet Explorer 7.0 para Windows XP y Windows Vista.

Se aconseja a los usuarios, no hacer clic en el enlace "Actualice la página" que muestra el sistema, cuando la navegación es interrumpida por cualquier motivo.

Más información:
Phishing using IE7 local resource vulnerability
http://aviv.raffon.net/2007/03/14/PhishingUsingIE7LocalResourceVulnerability.aspx

Fuente

Ver más