[Articulo]: SObre las dos ultimas vulnerabilidades publicadas

14/12/2003 - 22:12 por JM Tella Llop [MS MVP] · | Informe spam
Sobre las dos ultimas vulnerabilidades publicadas
-

Hace unos dias ha saltado una noticia (por ejemplo, publicada por Hispasec) que acusaba a los navegadores de Microsoft de un par de Bugs que vamos a ver a continuacion.

No solo la noticia peca de escandalosa, sino que además sucede igualmente con el resto de exploradores (o al menos tambien pasa con el Mozilla -comprobado-)


URL's mal construidas

Lo primero que hay que matizar es que no son mal construidas. Son construidas perfectamente y de acuerdo con la RFC que define los protocolos de internet y su sintaxis.

En particular la sintaxis completa de una pagina web es:

http://usuario:password@www.direccion_web.com:puerto

Lo que sucede es que normalemtne no accedemos con usuario / password y como por defecto, el puerto es el 80, tampoco lo ponemos.

El dia 4/11/2003, curiosamente (digo curiosamente, porque las casualudades a veces parecen "causalidades") publiqué en los grupos de noticias:

news://dakotabcn.net/dakota.publico...xp.general

un mensaje titulado: "viejos engaños...". Os aconsejo que mireis el holo de la conversacion y saqueis vuestras propias conclusiones. Como un pequeño resumen, empezaba:

supongo que si veis una direccion de este estilo:

http://www.microsoft.com:support%4062%2e57%2e115%2e225/download/KB254678_sp2.exe

¿sabreis lo que quiere decir ¿no?


Es tan simple, que "parece" que es un link a Microsoft. Pero no lo es. Realmente es un ling a la direccion IP: 62.57.115.225

Recordemos que en una URL puede sustituirse cualquier simbolo por %xx siendo xx la conversion hexadecimal del simbolo. La @ es un 40, y el punto es un 2e. Por tanto, traduciendo un poco lo anterior, queda:

http://www.microsoft.com:support@62.57.115.225/download/KB254678_sp2.exe

Es dcier, se accede al programa KB254678_sp2.exe que está en el servidor de internet 62.57.115.225 (no es el de Microsoft, por supuesto) con el usuario www.microsoft.vom y la password "support".

Cualquier usuario se habría tragado el engaño creyendo que descara un parche de MS y lo que está haciendo es metiendose un virus como una catedral (por ejemplo).

En el hilo en cuestion, teneis mas ejemplos y la explicacion de todos ellos.


* Y esto... un mes antes..

Pero no es un bug. Es diseño del tcp, y además, si lo filtramos... cuidado: el server Apache lo usa internamente para un monton de sus paginas y sobre todo de paquetes estandares que ruedan sobre Apache y que utilizan masivamente en Internet muchos sitios Web. Por tanto, si se filtra, se corre el peligro de cargarnos mas de un 20% de la red que lo está usando.


Y repito... el resto de Navegadores funcionan Igual. Probadlo con Mozilla este simple ejemplo:

http://www.nytimes.com%01%00@www.hispasec.com/directorio/laboratorio/Software/tests/nyt/nyt.html

el cual es una variante de lo anterior y os creereis que estais en la paginas del NewYork Times.



VULNERABILIDAD RECURSIVA DE ATAQUE DOS

Este es peor todavia y muchisimo mas viejo. Quien quiera "experimentarlo", existe esta pagina usada desde hace mucho tiempo para hacer bromas. Viejo, realmente viejo.

http://www.albinoblacksheep.com/flash/you.html


* La conclusion, es que se está sacando punta, y cazando brujas a base de cualquier informacion en la red.

Y una segunda conclusion: casualidad... o causalidad.



Jose Manuel Tella Llop
MS MVP - DTS
jmtella@compuserve.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
 

Leer las respuestas

#1 Juan F.R.
14/12/2003 - 22:29 | Informe spam
Interesante artículo. Recuerdo aquélla discusión en Dakota.

Saludos.

"JM Tella Llop [MS MVP] ·" escribió en el mensaje
news:
Sobre las dos ultimas vulnerabilidades publicadas
-

Hace unos dias ha saltado una noticia (por ejemplo, publicada por Hispasec)
que acusaba a los navegadores de Microsoft de un par de Bugs que vamos a ver
a continuacion.

No solo la noticia peca de escandalosa, sino que además sucede igualmente
con el resto de exploradores (o al menos tambien pasa con el
Mozilla -comprobado-)


URL's mal construidas

Lo primero que hay que matizar es que no son mal construidas. Son
construidas perfectamente y de acuerdo con la RFC que define los protocolos
de internet y su sintaxis.

En particular la sintaxis completa de una pagina web es:

http://usuario::puerto

Lo que sucede es que normalemtne no accedemos con usuario / password y como
por defecto, el puerto es el 80, tampoco lo ponemos.

El dia 4/11/2003, curiosamente (digo curiosamente, porque las casualudades a
veces parecen "causalidades") publiqué en los grupos de noticias:

news://dakotabcn.net/dakota.publico...xp.general

un mensaje titulado: "viejos engaños...". Os aconsejo que mireis el holo de
la conversacion y saqueis vuestras propias conclusiones. Como un pequeño
resumen, empezaba:

supongo que si veis una direccion de este estilo:

http://www.microsoft.com:support%4062%2e57%2e115%2e225/download/KB254678_sp2.exe

¿sabreis lo que quiere decir ¿no?


Es tan simple, que "parece" que es un link a Microsoft. Pero no lo es.
Realmente es un ling a la direccion IP: 62.57.115.225

Recordemos que en una URL puede sustituirse cualquier simbolo por %xx siendo
xx la conversion hexadecimal del simbolo. La @ es un 40, y el punto es un
2e. Por tanto, traduciendo un poco lo anterior, queda:

http://www.microsoft.com:/download/KB254678_sp2.exe

Es dcier, se accede al programa KB254678_sp2.exe que está en el servidor de
internet 62.57.115.225 (no es el de Microsoft, por supuesto) con el usuario
www.microsoft.vom y la password "support".

Cualquier usuario se habría tragado el engaño creyendo que descara un parche
de MS y lo que está haciendo es metiendose un virus como una catedral
(por ejemplo).

En el hilo en cuestion, teneis mas ejemplos y la explicacion de todos ellos.


* Y esto... un mes antes..

Pero no es un bug. Es diseño del tcp, y además, si lo filtramos... cuidado:
el server Apache lo usa internamente para un monton de sus paginas y sobre
todo de paquetes estandares que ruedan sobre Apache y que utilizan
masivamente en Internet muchos sitios Web. Por tanto, si se filtra, se corre
el peligro de cargarnos mas de un 20% de la red que lo está usando.


Y repito... el resto de Navegadores funcionan Igual. Probadlo con Mozilla
este simple ejemplo:

http://www.nytimes.com%01%/director...t/nyt.html

el cual es una variante de lo anterior y os creereis que estais en la
paginas del NewYork Times.



VULNERABILIDAD RECURSIVA DE ATAQUE DOS

Este es peor todavia y muchisimo mas viejo. Quien quiera "experimentarlo",
existe esta pagina usada desde hace mucho tiempo para hacer bromas. Viejo,
realmente viejo.

http://www.albinoblacksheep.com/flash/you.html


* La conclusion, es que se está sacando punta, y cazando brujas a base de
cualquier informacion en la red.

Y una segunda conclusion: casualidad... o causalidad.



Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Preguntas similares