Nuevas vulnerabilidades en IE

22/01/2004 - 17:06 por Ille Corvus | Informe spam
http://www.vsantivirus.com/rzw-21-01-04.htm

****************************
Estas fallas permiten la ejecución de código arbitrario, CROSS SITE
SCRIPTING (XSS), creación de <IFRAMES> y ejecución de POP-UPS sin
límites (el único limite es la memoria del PC). Todo esto podría
llevar a un colapso del Internet Explorer y/o del Outlook Express y
hasta del sistema en sí; o sea una denegación de servicio (DoS, sigla
en ingles de "Denial Of Service").

Fallo en el sistema de filtrado

(Internet Explorer y Outlook Express 6.00.2600 totalmente parchados)

Microsoft ha insertado un sistema de filtración dentro del Internet
Explorer. Este sistema verifica que sólo los datos seguros, válidos y
apropiados (en sintaxis) sean pasados a aplicaciones externas.

El sistema de filtrado salta algunos chequeos importantes tales como
el protocolo "MAILTO:". Sin esta filtración, el Internet Explorer
permite que datos inválidos sean enviados al cliente de correo por
defecto.

Ejemplo:

mailto:[una dirección extremadamente larga]

Esto provoca el mensaje de error "No se pudo llevar a cabo la
operación porque el cliente de correo predeterminado no está
correctamente instalado".

Este sistema también filtra enlaces del Outlook, tales como los
protocolos NNTP y SNTP. No obstante el agujero de seguridad aparece
cuando un atacante utiliza el protocolo SNEWS, que no tiene ningún
filtrado.

nntp://aaaaaa.com/aaaaa

Filtrado activo! - Resultado: mensaje de error.

sntp://aaaaaaaaaaaaaaa

Filtrado activo! - Resultado: mensaje de error.

snews://aaaaaaaaaaaaa

Filtrado *INACTIVO!* - Resultado: activación de Outlook e inyección de
server en Outlook [Nota 1].

Este agujero de seguridad le permite a cualquier sitio o página, abrir
el Outlook Express e inyectar cualquier cosa como si fuese un servidor
de noticias válido. Esto puede ser algo preocupante si alguien hace un
bucle repetitivo que inyecte una cantidad enorme de servidores falsos
de SNEWS. Ésta dirección seguirá escrita en la base de datos de los
servidores de noticias de Outlook Express y puede causar cuelgues o la
pérdida de recursos del sistema.

La manera más simple de explotar este fallo es por XSS (Cross Site
Scripting).

Esto también crea un desbordamiento de búfer dentro de Outlook Express
en el offset 0x00dc735, que cierra el programa, hace más lento al
sistema, y puede incluso colgarlo por falta de memoria.

Este desbordamiento de búfer en Outlook Express es ALTAMENTE
PELIGROSO, y puede causar ejecuciones remotas de código arbitrario.

Solución temporal para este problema:

La primera vez que Outlook Express es ejecutado por una URL del tipo
"snews://aaaaaaaaaaaa", éste pregunta al usuario si él quiere que
Outlook sea el cliente de noticias predeterminado. Eligiendo NO puede
solucionar el problema por ahora [Nota 2].

El Internet Explorer abre automáticamente el dialogo de descarga
cuando el mismo archivo con una extensión "css" existe en esa carpeta.

Por ejemplo:

http://<host>/styles

Esto provocará la apertura del diálogo de descarga del Internet
Explorer, que intenta descargar el archivo "styles".

NOTA: Esto sucederá solamente si un archivo nombrado "styles.css" está
situado en esa carpeta.

Un exploit puede ejecutar FrontPage, y comenzar a enviar los ".css" a
él. Para cada descarga de archivos abrirá dos ventanas de diálogo, la
primera es la ventana de descarga, y la segunda, el mensaje de error
"No se puede hallar ...", que revela/enumera la ruta de todo el
archivo temporal de Internet.

Esto sobrecargará rápidamente la memoria del FrontPage y abrirá luego
los archivos ".css" en el bloc de notas. Y después de que sobrecargue
la memoria del bloc de notas, intentará abrir los archivos en el
dialogo "Abrir con...", que es ejecutado por "rundll32.exe". A éste
punto, "rundll32.exe" alcanzará el desbordamiento de memoria y
mostrará un mensaje por cada intento de descarga, lo que podría llevar
al colapso del sistema.

Nota 1 de Xyborg:

Esto último se debe a que al abrirse el Outlook da un mensaje de
advertencia diciendo que no se está suscrito a ningún grupo de
noticias, y nos pregunta si queremos ver una lista, la cuál, si
aceptamos, intentará buscar en el servidor inyectado.

También he descubierto que si en la URL se coloca una barra al final,
no solo se inyecta un nuevo servidor sino también un grupo de
noticias.

snews://servidor/grupo_de_noticias
Nota 2 de Xyborg:

Este mensaje es mostrado cuando se intenta acceder por primera vez a
un servidor de noticias, ya sea falso o verdadero.

[El artículo completo, en http://www.rzw.com.ar/article1213.html,
Múltiples Vulnerabilidades en Internet Explorer]


Créditos: Rafel Ivgi, The-Insider.
http://theinsider.deep-ice.com

Traducción: Martín [Xyborg] Aberastegue
http://www.rzw.com.ar

****************************


Ille Corvus. Hic et Nunc.
 

Leer las respuestas

#1 JM Tella Llop [MVP Windows] ·
22/01/2004 - 17:15 | Informe spam
http://www.vsantivirus.com/22-01-04.htm

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Ille Corvus" wrote in message news:
http://www.vsantivirus.com/rzw-21-01-04.htm

****************************
Estas fallas permiten la ejecución de código arbitrario, CROSS SITE
SCRIPTING (XSS), creación de <IFRAMES> y ejecución de POP-UPS sin
límites (el único limite es la memoria del PC). Todo esto podría
llevar a un colapso del Internet Explorer y/o del Outlook Express y
hasta del sistema en sí; o sea una denegación de servicio (DoS, sigla
en ingles de "Denial Of Service").

Fallo en el sistema de filtrado

(Internet Explorer y Outlook Express 6.00.2600 totalmente parchados)

Microsoft ha insertado un sistema de filtración dentro del Internet
Explorer. Este sistema verifica que sólo los datos seguros, válidos y
apropiados (en sintaxis) sean pasados a aplicaciones externas.

El sistema de filtrado salta algunos chequeos importantes tales como
el protocolo "MAILTO:". Sin esta filtración, el Internet Explorer
permite que datos inválidos sean enviados al cliente de correo por
defecto.

Ejemplo:

mailto:[una dirección extremadamente larga]

Esto provoca el mensaje de error "No se pudo llevar a cabo la
operación porque el cliente de correo predeterminado no está
correctamente instalado".

Este sistema también filtra enlaces del Outlook, tales como los
protocolos NNTP y SNTP. No obstante el agujero de seguridad aparece
cuando un atacante utiliza el protocolo SNEWS, que no tiene ningún
filtrado.

nntp://aaaaaa.com/aaaaa

Filtrado activo! - Resultado: mensaje de error.

sntp://aaaaaaaaaaaaaaa

Filtrado activo! - Resultado: mensaje de error.

snews://aaaaaaaaaaaaa

Filtrado *INACTIVO!* - Resultado: activación de Outlook e inyección de
server en Outlook [Nota 1].

Este agujero de seguridad le permite a cualquier sitio o página, abrir
el Outlook Express e inyectar cualquier cosa como si fuese un servidor
de noticias válido. Esto puede ser algo preocupante si alguien hace un
bucle repetitivo que inyecte una cantidad enorme de servidores falsos
de SNEWS. Ésta dirección seguirá escrita en la base de datos de los
servidores de noticias de Outlook Express y puede causar cuelgues o la
pérdida de recursos del sistema.

La manera más simple de explotar este fallo es por XSS (Cross Site
Scripting).

Esto también crea un desbordamiento de búfer dentro de Outlook Express
en el offset 0x00dc735, que cierra el programa, hace más lento al
sistema, y puede incluso colgarlo por falta de memoria.

Este desbordamiento de búfer en Outlook Express es ALTAMENTE
PELIGROSO, y puede causar ejecuciones remotas de código arbitrario.

Solución temporal para este problema:

La primera vez que Outlook Express es ejecutado por una URL del tipo
"snews://aaaaaaaaaaaa", éste pregunta al usuario si él quiere que
Outlook sea el cliente de noticias predeterminado. Eligiendo NO puede
solucionar el problema por ahora [Nota 2].

El Internet Explorer abre automáticamente el dialogo de descarga
cuando el mismo archivo con una extensión "css" existe en esa carpeta.

Por ejemplo:

http://<host>/styles

Esto provocará la apertura del diálogo de descarga del Internet
Explorer, que intenta descargar el archivo "styles".

NOTA: Esto sucederá solamente si un archivo nombrado "styles.css" está
situado en esa carpeta.

Un exploit puede ejecutar FrontPage, y comenzar a enviar los ".css" a
él. Para cada descarga de archivos abrirá dos ventanas de diálogo, la
primera es la ventana de descarga, y la segunda, el mensaje de error
"No se puede hallar ...", que revela/enumera la ruta de todo el
archivo temporal de Internet.

Esto sobrecargará rápidamente la memoria del FrontPage y abrirá luego
los archivos ".css" en el bloc de notas. Y después de que sobrecargue
la memoria del bloc de notas, intentará abrir los archivos en el
dialogo "Abrir con...", que es ejecutado por "rundll32.exe". A éste
punto, "rundll32.exe" alcanzará el desbordamiento de memoria y
mostrará un mensaje por cada intento de descarga, lo que podría llevar
al colapso del sistema.

Nota 1 de Xyborg:

Esto último se debe a que al abrirse el Outlook da un mensaje de
advertencia diciendo que no se está suscrito a ningún grupo de
noticias, y nos pregunta si queremos ver una lista, la cuál, si
aceptamos, intentará buscar en el servidor inyectado.

También he descubierto que si en la URL se coloca una barra al final,
no solo se inyecta un nuevo servidor sino también un grupo de
noticias.

snews://servidor/grupo_de_noticias
Nota 2 de Xyborg:

Este mensaje es mostrado cuando se intenta acceder por primera vez a
un servidor de noticias, ya sea falso o verdadero.

[El artículo completo, en http://www.rzw.com.ar/article1213.html,
Múltiples Vulnerabilidades en Internet Explorer]


Créditos: Rafel Ivgi, The-Insider.
http://theinsider.deep-ice.com

Traducción: Martín [Xyborg] Aberastegue
http://www.rzw.com.ar

****************************


Ille Corvus. Hic et Nunc.

Preguntas similares