Buenas,
Definitivamente 2010 no ha empezado con buen pie para Internet Explorer. Si hace poco vivía un 0-day con importantes consecuencias para la seguridad, ahora tenemos en lo alto de la mesa un problema moderadamente crítico (definitivamente menos relevante que el anterior) que sin embargo vuelve a requerir por parte de los usuarios una atención especial.
Los amigos de Core Security descubrieron tiempo atrás un par de problemas (uno tiene que ver con la etiqueta de objetos dinamicos y el otro con URLMON) que ahora han hecho públicos, mediante los cuales un atacante podría extraer información sensible almacenada en ficheros locales de un sistema Windows siempre y cuando el usuario emplease una versión vulnerable y visitase una página especialmente conformada. No se necesita intervención alguna del usuario mas allá de visitar la pagina maliciosa, si bien este problema no permite (afortunadamente) comprometer el sistema en su totalidad como ocurriera con el exploit Aurora.
Quizás sea reseñable indicar que estas vulnerabilidades son, en palabras de los descubridores, una variación de otros problemas descubiertos anteriormente por Core (CoreLabs Security Advisories CORE-2008-0103 y CORE-2008-0826), lo que quizás sirva para reavivar el eterno debate sobre si los parches que ofrecen los fabricantes solventan siempre los problemas de raíz o si por el contrario, son paños de agua caliente para salir del paso.
No hay parche disponible para estas vulnerabilidades y Microsoft ha documentado el correspondiente Security Advisory en el que se comentan los posibles medidas de mitigación y donde la compañia deja entrever que no descarta publicar un parche fuera de ciclo (out-of-band) al respecto.
¿Es mi versión de Internet Explorer vulnerable?
De acuerdo a la información liberada por los descubridores, la relación de versiones vulnerable es la que sigue:
- Internet Explorer 5.01 SP4 corriendo en Windows 2000 SP4
- Internet Explorer 6 SP1 corriendo en Windows 2000 SP4
- Internet Explorer 6 SP2 corriendo en Windows XP SP2
- Internet Explorer 6 SP2 corriendo en Windows XP SP3
- Internet Explorer 7 corriendo en Windows XP SP2
- Internet Explorer 7 corriendo en Windows XP SP3
- Internet Explorer 7 corriendo en Windows Vista SP1
- Internet Explorer 7 corriendo en Windows Vista SP2
- Internet Explorer 7 corriendo en Windows Server 2003 SP2 si el modo protegido está desactivado y no se usa la configuración mejorada de seguridad
- Internet Explorer 7 corriendo en Windows Server 2008 si el modo protegido está desactivado y no se usa la configuración mejorada de seguridad
- Internet Explorer 8 corriendo en Windows XP SP2
- Internet Explorer 8 corriendo en Windows XP SP3
- Internet Explorer 8 corriendo en Windows Vista SP1 si el modo protegido está desactivado
- Internet Explorer 8 corriendo en Windows Vista SP2 si el modo protegido está desactivado
- Internet Explorer 8 corriendo en Windows 7 si el modo protegido está desactivado
- Internet Explorer 8 corriendo en Windows Server 2003 SP2 si el modo protegido está desactivado y no se usa la configuración mejorada de seguridad
- Internet Explorer 8 corriendo en Windows Server 2008 R2 si el modo protegido está desactivado y no se usa la configuración mejorada de seguridad
No son vulnerables las siguientes configuraciones:
- Internet Explorer 7 corriendo en Windows Vista, Windows Server 2003 o Windows 7 si el modo protegido está activado
- Internet Explorer 8 corriendo en Windows Vista o Windows Server 2003 si el modo protegido está activado
- Internet Explorer 8 corriendo en Windows Server 2003 si el modo protegido está activado
- Internet Explorer 8 corriendo en Windows 7 o Windows Server 2008 R2 si el modo protegido está activado
Lo que debes hacer si usas Internet Explorer
Lo primero es leete el Microsoft Security Advisory (980088): http://www.microsoft.com/technet/security/advisory/980088.mspx.
Una vez te lo hayas leído puedes aplicar alguna de las siguientes acciones de mitigación (no es necesario ejecutarlas todas)
- Asegúrate de ejecutar Internet Explorer con el modo protegido activado, si es que tu sistema operativo lo permite y si entiendes las limitaciones que se pueden producir al usarlo (http://blogs.msdn.com/ie/archive/2007/04/04/protected-mode-for-ie7-in-windows-vista-is-it-on-or-off.aspx). Como probablemente te suene a chino esto del modo protegido, puedes documentarte en http://msdn.microsoft.com/en-us/library/bb250462(VS.85).aspx. Este modo viene activado por defecto en la zona de seguridad de Internet sólo en Windows Vista, Windows 7 y Windows Server 2008.
- Emplea la funcionalidad Network Protocol Lockdown del navegador. Puedes activarlo y desactivarlo en http://support.microsoft.com/kb/980088.
- En la configuración por zonas, establece el nivel de seguridad tanto para Internet como Intranet en ALTO, con lo que se impedirá la ejecucion de scripts y controles ActiveX. Nótese que esto puede tener implicaciones en ciertas aplicaciones Web que usen estos componentes.
- Desactiva el scripting activo para las zonas Internet e Intranet Local manualmente, estableciendo una configuración de las mismas de tipo personalizado.
Si por alguna razón no comprendes el trasfondo de estas posibles soluciones (lo cual no me extrañaría lo más mínimo) o si tienes dudas sobre su utilización, lo más sensato, hasta que se publique un parche, es no usar Internet Explorer a la hora de visitar páginas que no sean de nuestra más exclusiva confianza. Un navegador alternativo es recomendable en estos casos.
Un saludo,
Sergio, que somos tus lectores. Si no entendieramos el «trasfondo» de esto no te leeríamos. Hombre, comprobar el Protected Mode es muy sencillito y para el atacante, conocer el nombre del archivo en la zon de usuarios es más dificil. Que todas las vulnerabilidades sean así!! ;)
Pero de nuevo.. Configuración por defecto de Windows Vista con IE7 y Windows 7 con IE8 nos ha salvado ;)
Y dándole vueltas al asunto… ¿por qué entre las recomendaciones no has metido la más sensata?
«Se recomienda actualizar a la última versión de Internet Explorer y no deshabilitar el modo protegido».
Voy a empezar a pensar seriamente que eres un poco «anti Microsoft» Sergio.
Saludos!
Buenas maloso,
Con lo del trasfondo me referia a los usuarios de a pie, que por estos lares los hay, a los cuales siempre les resulta complicado aplicar las medidas de contencion como las citadas.
¿Yo antimMS? Si lo fuera no perderia el tiempo en ayudar a sus usuarios con estas cosas. Hay en este post mas informacion tecnica que en el KB de la casa :)
Un saludo!
Sí, y una sucinta recomendación perenne en tus posts… aún saltándose la recomendación más sensata:
» hasta que se publique un parche, es no usar Internet Explorer a la hora de visitar páginas que no sean de nuestra más exclusiva confianza. Un navegador alternativo es recomendable en estos casos.»
Estudiandome otros casos de fallos siempre he visto que recomiendas actualizar a la última versión. No así en este caso…. ;)
Saludos malosos… digo malignos!
Los navegadores «alternativos», también la lían, y si no se lo creen miren el siguiente URL (en inglés):
http://blog.mozilla.com/addons/2010/02/04/please-read-security-issue-on-amo/
Como se puede observar, Mozilla distribuye complementos ya directamente infectados con troyanos desde su propia página (y siguen disponibles).
¿De quién fiarse?
Como siempre, muy didáctico y bien explicado Sergio. A pesar de no usar IE (uso Firefox) creo que con esta información ayudas a muchas personas las cuales todavia confían en ese navegador por los motivos que sean.
PD: Me gusta cuando aparece Chema el malo por aquí xd, el tío defiende MS como si fuera el hermano de Bill.
Muy completa la información. La verdad es que Internet Explorer no está precisamente en su mejor momento como bien comentas. Hechos recientes como que el Gobierno de Alemania (ahí es nada!) recomiende a sus ciudadanos que no utilicen el navegador de Microsoft no hacen más que empeorar las cosas para IE. A lo mejor es el momento del despegue definitivo de Firefox, o de otros navegadores menos vulnerables. Veremos.
@Aúdea, creo que tú tampoco te leíste el advisory del gobierno aleman. Ni mucho menos decía que se dejara de utilizar IE. Sólo mientras no hubiera parche. Es un matiz pequeño pero de gran trascendencia. La realidad, por suerte para la seguridad de todos, es que IE8 es ya el navegador más usado en el mundo.
saludos malignos!
Excellent post. I was checking constantly this weblog and I’m inspired!
Very helpful information specifically the ultimate section :) I handle
such info a lot. I was looking for this particular information for
a very long time. Thank you and best of luck.