DEP en Internet Explorer 8, tocado y hundido

Hola,

Hace apenas 24 horas que escribí sobre DEP (Data Execution Prevention), y sus limitaciones. Hoy, VUPEN ha anunciado que ha trabajado sobre el exploit existente, y la peor pesadilla de los responsables de seguridad de la empresa parece haberse vuelto realidad: su código mejorado permite la explotabilidad en Internet Explorer 8 aún operando con DEP, siempre y cuando el soporte JavaScript del navegador esté activo.

La gente de VUPEN no ha liberado el código mejorado, limitándose a decir que han empleado técnicas de manupulación novedosas. Han entregado al fabricante sus evidencias para que se pueda mitigar el devastador efecto de que se pueda eludir DEP estando el navegador en situación máxima de vulnerabilidad (que nadie se olvide que esto es un drive-by puro y duro, ya que con sólo visitar una página maliciosa tu equipo puede quedar). VUPEN ha aclarado que aunque es posible eludir DEP, se requiere que JavaScript esté activo para que el ataque tenga éxito. Cabría aquí preguntarse la cantidad de cosas que dejan de funcionar cuando se deshabilita el soporte JavaScript en un navegador, pero eso es harina de otro costal.

Para rematar la fiesta, Tavis Ormandy, un ingeniero de seguridad de Google, ha anunciado públicamente el descubrimiento de un problema de seguridad que afecta a todas las versiones de Windows desde NT 3.1 (publicado en 1993) hasta el novedoso Windows 7 (publicado en 2009). Aunque es un problema poco importante en lo que a seguridad se refiere, sí que es relevante que Ormandy haya liberado el código después de entregarle los detalles de la vulnerabilidad a los de Redmond el pasado 12 de Junio de 2009. Una vez agotado el plazo que ha considerado apropiado (y mucho ha esperado, creo yo) ha dado a conocer en público los detalles con la esperanza de que esto acelere el proceso de resolución.

Volviendo a IE, que por desgracia es un asunto de una trascendencia mucho más elevada, si había razones para aparcar Internet Explorer hasta que se libere un parche corrector, ahora son mucho más poderosas. Al Gobierno alemán se le han unido recientemente el francés y el australiano para recomendarnos no usar el navegador de Microsoft hasta que la mínima condición de seguridad sea reestablecida. Consejo que desde estas líneas suscribo plena y absolutamente.

Un saludo,

14 comentarios sobre “DEP en Internet Explorer 8, tocado y hundido

  1. Matizo:

    Lo de Tavis Ormandy considero que es poco importante porque no es explotable remotamente. Por lo que he podido leer, sólo se puede explotar a nivel local.

    No obstante, parece claro que son malos momentos para los de Redmond, que últimamente, y para desgracia suya y de sus usuarios, no dejan de acumular problemas.

  2. Siempre interesantes tus entradas. Mañana 21 se estaría liberando la actualización de seguridad para IE según informan en Microsoft TechNet.

    También habría un webcast con los clientes para absolver preguntas.

  3. «Al Gobierno alemán se le han unido recientemente el francés y el australiano para recomendarnos no usar el navegador de Microsoft hasta que la mínima condición de seguridad sea reestablecida. Consejo que desde estas líneas suscribo plena y absolutamente.»

    Sergio, ese párrafo es malo y tendenciero. ¿Eres tan maligno tú como yo a pesar de que estés en el lado del bien?

    «la mínima condición de seguridad sea restablecida»

    Esa es la buena de todas. ¿Qué quiere decir? ¿Qué hasta que IIE se rehaga seguro no lo use nadie? Venga, por favor. Yo ssé que el conocimiento de alemnan que tenemos muchos acaba en «Sí, No, Más, ponte a cuatro patas», pero se puede utilizar el traductor de Google para ver que pone «hasta que salga el parche».

    ¿Por qué el gobierno aleman, francés, y tú que lo suscribes, no dijistéis nada con el 0day igual de FF en Julio? http://www.hispasec.com/unaaldia/3917

    Es ridículo. FF tiene 48 vulnerabilidades en 6 meses, el triple que I8, de más criticidad incluso. No planifica parches, no se administra remotamente por defecto. No tiene zonas de seguridad, no soporta los certificados por defecto de las entidades de certificación nacionales… y tú: «suscribes plenamente el cambio de navegador». ¿Hasta cunado? ¿Le recomendarías a una empresa, no sé, de 300 equipos, migrar? Seamos serios Sergio, que somos mayores….

    Saludos Malignos!

  4. Que tal Sergio,

    No me queda claro, si la vulnerabilidad descubierta por Tavis Ormandy, es grave o no. Ya que es tu articulo de hoy en Hispasec indicas que si. Y ayer? matizas que no.

    Saludos y gracias,

  5. Chema,

    Lo que es realmente tendenciero es sacar el parrafo sin tener en cuenta todo el articulo. Tendenciero es que en tu selección no incluyas, por ejemplo, la siguiente frase «Volviendo a IE, que por desgracia es un asunto de una trascendencia mucho más elevada, si había razones para aparcar Internet Explorer hasta que se libere un parche corrector, ahora son mucho más poderosas». Dicho esto, sinceramente, no entiendo la beligerancia con este asunto, porque el tema esta bastante claro:

    1. Se publica un 0day con un impacto muy grave. Un drive-by en toda regla que afecta a una version de un producto con una amplia distribución y con una cuota de mercado elevada

    2. Se tiene constancia de que ese problema ha servido para causar problemas muy serios en empresas conocidas y que al estar en público, cualquiera puede implementar el código en un hospedaje. Véase http://www.sophos.com/blogs/sophoslabs/?p=8260

    3. No hay parche corrector, como es habitual en un 0day

    4. Se dice que la solución pasa por actualizar a IE8 y tener DEP en plaza

    5. VUPEN dice que DEP es vulnerable a nuevos métodos de ataque, y que sólo queda deshabilitar JavaScript como garantía de que no te la metan doblada

    Ante un escenario así, y lamento que te moleste, lo sensato es considerar que IE no reune en estos momentos las mínimas garantías de que la navegación sea segura, especialmente si se usa en Internet. Para que eso fuera así, habría que actualizar a IE8 y deshabilitar JavaScript, lo que tiene un impacto nimio en el usuario domestico de turno y en la PYME del primo Manolo, pero que es a duras penas es realista en el mundo empresarial:

    1. No todo el mundo puede subir alegremente a IE8, ya que hay restricciones muy serias en ciertos ERPs, CRMs y un sinfín de productos que impiden el uso de IE8. Hay una cantidad de gente atada a IE6 BRUTAL. Este problema existe desde hace lustros, y en su mayoria lo causan los fabricantes que en vez de hacer buenos productos respetuosos con los estandares, los casan con una tecnologia determinada que tampoco es precisamente la panacea de la estandarización, en este caso con la que prevalece. Ejemplos son Oracle y SAP, por poner dos de los mas relevantes.

    2. No todo el mundo puede suprimir el soporte JavaScript, porque hay infinidad de aplicaciones que necesitan ese soporte. Aunque con una buena gestión de políticas se puede usar la configuración por zonas y habilitar el soporte sólo para Intranet, quitándolo para Internet (lo cual no te exime de que un atacante interno te cuele el exploit en la Intranet, donde además las clases NET que permiten un bypass conocido desde hace tiempo sí se permiten), existen INFINIDAD de aplicaciones de terceros que van vía Internet a las que si les quitas el soporte JS, te las cargas. Te lo han dicho en tu blog: prueba a quitar el soporte JavaScript en una red de 10.000 equipos Windows, y quizás luego entiendas porque esa medida no es válida en la mayoría de los grandes despliegues. Me pides que sea serio, trataré de serlo, pero también tu deberías ser serio con una recomendación del tipo «Desactiva el JS y aquí no pasa nada» porque esa recomendación no es válida en infinidad de despliegues.

    He defendido en todos mis posts que se puede circular por ahí fuera con Internet Explorer si se tiene conocimiento preciso de la situación, y si se tiene control sobre lo que se hace. En todos y cada uno de mis posts he dejado muy claro que para mí la solucion a esto no es mandar al carajo Explorer, porque hay gente que les gusta y/o que lo necesita. Incluso me he molestado en documentarme sobre DEP, explicando para que nos viene bien, y para que no nos viene bien. Lo único a lo que me limito es a recomendar que, salvo para esos usuarios con un dominio claro de la situación que contamos con los dedos de una mano, los demás deberían usar un navegador alternativo hasta que la mínima seguridad sea reestablecida (y he dejado claro que con eso me refiero hasta que el parche este disponible, y de paso, se tenga noción de que leches esta pasando con los bypass de DEP que la gente de VUPEN ha parido, por ejemplo)

    Para mi esta es la recomendación sensata a seguir. Y haría lo mismo con FF, Chrome o cualquier otro navegador. En Julio andaba de vacaciones, habida cuenta de que en Agosto me incorporé a mi nuevo empleo, y si te soy sincero no tuve constancia en tiempo y forma del problema que comentas (es lo que tiene dejar el RSS en casa y no llevarlo a la playa) pero ten por seguro que yo no estoy casado con ningún vendor, y que me la trae al pairo lo que haga Microsoft, Opera o la Fundación Mozilla, ya que la salud de mi bolsillo no depende de ninguno de ellos, con lo que el día que aparezca un 0day equivalente, no tendré problema alguno en comentarlo (salvo que me encuentre de vacaciones, como comprenderás). Es más, te invito a que cada 0day equivalente que haya en cualquier navegador que no sea Internet Explorer lo enlaces en estos comentarios, y yo desde estas líneas te aseguro que le dare la cobertura que merece. Algunos ejemplos de que te equivocas cuando me metes en el saco de los del «lado del bien»:

    http://www.sahw.com/wp/archivos/2005/01/06/vulnerabilidad_en_mozilla_firefox_10/
    http://www.sahw.com/wp/archivos/2006/10/29/mas-problemas-para-firefox-20/
    http://www.sahw.com/wp/archivos/2005/05/10/es_firefox_tan_seguro_como_se_dice/
    http://www.sahw.com/wp/archivos/2005/09/10/asesinando-a-firefox/
    http://www.sahw.com/wp/archivos/2006/05/14/alternativas-fiables-a-firefox/
    http://www.sahw.com/wp/archivos/2006/04/26/alerta-vulnerabilidades-en-internet-explorer-y-firefox/
    http://www.sahw.com/wp/archivos/2006/10/03/sufre-firefox-una-grave-vulnerabilidad/

    Sobre ese problema en FF, me uno al comentario del pajarraco De Los Santos: «Se recomienda desactivar JavaScript en Firefox o el uso de navegadores alternativos (no Internet Explorer puesto que en estos momentos también sufre de varios problemas de seguridad no resueltos)». Como tambien secundo al 100% el boletín que saco el otro día, en el que se dice textualmente «Muchos ven en estas reacciones del gobierno alemán un movimiento más en contra de las grandes corporaciones americanas, que a favor de la seguridad de los usuarios. En cualquier caso, la recomendación, temporal hasta que Microsoft corrija el problema, no debe ser desatendida. No es un mal criterio aconsejar el uso de alternativas cuando no exista solución a un problema de seguridad».

    Espero que la próxima vez hablemos de otros temas mas interesantes. Confieso, eso si, que me apena que te metas en estos berenjenales mas propios de un fanboy que lleva con Ubuntu 4 dias. En debates como este se echa en falta «el otro Chema» que desde luego aporta 1000 veces más al mundo de la seguridad que el Chema que ha aparecido por estos lares. Pero bueno, a fin de cuentas esto es lo que tienen los blogs, al final decimos lo que nos apetece y cuando nos apetece, ¿no?

    Un saludo, y a ver si nos vemos.

  6. @Mr. Sonrisas,

    Ya te lo ha dejado claro Maligno. Yo sostengo que es un fallo no muy relevante porque

    a) No funciona en plataformas 64 bit
    b) Necesita una cuenta local para funcionar, lo cual lo hace, SIEMPRE EN EL TAPETE, sin entrar en contaminaciones remotas, en un problema local no explotable remotamente.

    El amigo De Los Santos tiene otra opinión, seguramente basada en su experiencia en Windows (amplia donde las haya, por cierto) y en la información que él maneja (la cual desconozco)

    Un saludo,

  7. Sergio, Micro NO dijo nunca que se pasara a IE8 con DEP y listo igual que el gobierno alemán no recomendó migrar a otro navegador, dijo que no se usara mientras no hubiera parche (pues ya lo hay). Micro dijo que para el exploit que había rulando, se atenuaba el impacto con DEP y así era. Una vez conocido el fallo, basta con crear una política en el AD. Sugerir la migración es una imprudencia además de no estar justificado. Microsoft, en fallos críticos responde, como lo ha hecho.

    Como tu bien indicas en las restricciones de los productos, si subir a IE8 es dificil, imagínate la recomendación de migrar a otro navegador. El exploit no afectaba a IE8 y cuando la gente de VUPEN lo migró para saltarse el DEP ya se había firmado la vulnerabilidad con GAPAL, ya está en todos los antivirus, ya las empresas pueden fortificar el uso de javascript con las zonas y el AD… etc… Cuanod se saltó DEP ya no tenía el mismo impacto.

    Claro que no todo el mundo puede suprimir el javascript, pero para eso están las zonas de IE, para que no lo suprimas en el sinfín de aplicaciones que lo necesitan y sí en el resto. Cuando salga otro como este en FF (que ya has visto que pasó en Junio)… ¿qué solución le damos? ¿Migrar a Opera?

    Sergio, lidiar con estas soluciones es nuestra responsabilida. ¿que hay que crear una lista blanca de 20 o 50 sitios con soporte javascript? Se crea. Es mucho peor tener un FF o un Chrome y no poder hacerlo.

    De verdad, ya hay parche de IE8, ¿cuanto ha tardado? ¿cuanto se tarda en una migración de navegador? ¿cuanto se tarda en adaptar, como tu bien dices las aplicaciones?

    Me encantaría hablar y tomar copas, ya lo sabes, pero el caso de IE8 es flagrante. Debido a toda esta reacción en cadena estoy escribiendo un artículo de Navegadores Web en la empresa que empezaré a publicar, me encantará ver tu opinión en ellos.

    Un saludo compi.

  8. Hola Chema,

    Perdona la tardanza, pero he estado fuera el finde. Estaré encantado de echar un ojo a esa comparativa, así que espero cazarla a tiempo en tu RSS.

    Sobre JS, yo sinceramente creo que lo de la lista blanca es inmanejable en despliegues largos, así que IE no me aporta en esos casos ventaja alguna sobre FF o Chrome.

    Un abrazo chavalote,

    anonimo,

    Ese articulo me aporta poco, como me aportan poco todos los que se quedan en decir el clásico «eso es un FUD de Microsoft». Esa época ha pasado, seamos más realistas y objetivos si vamos a lanzar críticas.

  9. Back on business ;)

    Sergio, no sé cuanto de larga será, pero nosotros estamos en un proyecto para un multinacional española y no sólo hicimos la lista, sino que nos hemos mirado la seguridad siguiendo un protocolo de todas las aplicaciones externas autorizadas para perfilar una catalagoción de características de seguridad en ellas. Así las hemos catalogada en diferentes niveles de riesgo, las hemos agrupado en niveles y cuando pasa algo así, se les aplican planes de respuesta.

    Y esta empresa no es un banco.

    Creo que conociendo como funcionan las amenazas en Internet, los responsables de seguridad debemos tener cada vez más cuidado con dónde se conectan tus usuarios.

    Así que, si los equipos antimalware tienen que analizar miles de malware, ¿no se pueden catalogar un par de cientos de webs autorizadas?. Si nececistas servicios extra nosotros te hacemos el trabajo ;)

    Saludos!

Comentarios cerrados.