En IE7 no pinches en “Actualice la página.” (Vulnerabilidad)

15 03 2007

Leo en VSantivirus.com un artículo de Ángela Ruiz que paso a reproduciros exáctamente igual porque no puede estar mejor explicado.

Yo lo que quería deciros es que la solución preventiva a la siguiente vulnerabilidad es no pinchar en el enlace “Actualice la página”, pulen el botón “Actualizar” o la tecla F5 (actualizar) para no tener riesgos.

Internet Explorer 7 posee una vulnerabilidad del tipo Cross-Site-Scripting (XSS) en uno de sus recursos locales.

Debido a un error de diseño del navegador, dicha vulnerabilidad podría ser utilizada por un atacante para llevar a cabo un ataque de phishing (suplantación de un sitio web legítimo).

Una vulnerabilidad XSS permite eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios. Esto es válido para cualquier sitio web o para un archivo local.

NAVCANCL.HTM es un recurso local que IE utiliza cuando por alguna razón se cancela la navegación (Exploración cancelada).

Cuando ello ocurre, la dirección (URL) de la página cancelada, es proporcionada a un script local después del símbolo numeral (#), de la siguiente manera:

res://ieframe.dll/navcancl.htm#[URL cancelada]

El script (httpErrorPagesScripts.js, que es parte del sistema), permite que el usuario pueda ir a la página cancelada, si hace clic en el enlace “Actualice la página.” que se muestra (ver imagen más adelante).

Debido a la vulnerabilidad, es posible inyectar otro script en el enlace proporcionado, que también se ejecutaría cuando el usuario haga clic en el link “Actualice la página.”

Debido a que Internet Explorer 7 ejecuta sus propios recursos locales en la zona de seguridad “Internet” (más restrictiva que la “Zona local” o “Mi PC” de versiones anteriores), esta vulnerabilidad no puede ser utilizada para la ejecución remota de código.

Sin embargo, por un error de diseño, cuando NAVCANCL.HTM se ejecuta, la dirección del sitio que se incluye después del numeral, es mostrada en la barra de direcciones (seguida de otro código que no siempre es una señal clara de alerta para un usuario desprevenido).

Una prueba de concepto, muestra como un atacante podría crear un enlace malicioso, que al ser cancelado lanzaría un script que desplegaría en la barra de direcciones un contenido que no sería el verdadero, pero que podría parecerlo. Por ejemplo, podría mostrarse el enlace real a un banco, pero cuando el usuario haga clic en “Actualice la página”, en realidad sería redirigido a un sitio falso.

En la prueba de concepto, se simula que el enlace apunta a CNN.COM, cuando ello no es así.

No se ha demostrado si el filtro anti-phishing del IE7, en caso de estar habilitado, podría ayudar a evitar el engaño, pero tampoco se ha comprobado lo contrario.

Son afectadas las versiones de Internet Explorer 7.0 para Windows XP y Windows Vista.

Se aconseja a los usuarios, no hacer clic en el enlace “Actualice la página” que muestra el sistema, cuando la navegación es interrumpida por cualquier motivo.

Más información:

Phishing using IE7 local resource vulnerability
http://aviv.raffon.net/2007/03/14/PhishingUsingIE7LocalResourceVulnerability.aspx

Referencias:

Microsoft Internet Explorer NavCancel.HTM Cross-Site Scripting Vulnerability
http://www.securityfocus.com/bid/22966

Anuncios

Acciones

Information

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s