[Articulo]: SObre las dos ultimas vulnerabilidades publicadas

14/12/2003 - 22:12 por JM Tella Llop [MS MVP] · | Informe spam
Sobre las dos ultimas vulnerabilidades publicadas
-

Hace unos dias ha saltado una noticia (por ejemplo, publicada por Hispasec) que acusaba a los navegadores de Microsoft de un par de Bugs que vamos a ver a continuacion.

No solo la noticia peca de escandalosa, sino que además sucede igualmente con el resto de exploradores (o al menos tambien pasa con el Mozilla -comprobado-)


URL's mal construidas

Lo primero que hay que matizar es que no son mal construidas. Son construidas perfectamente y de acuerdo con la RFC que define los protocolos de internet y su sintaxis.

En particular la sintaxis completa de una pagina web es:

http://usuario:password@www.direccion_web.com:puerto

Lo que sucede es que normalemtne no accedemos con usuario / password y como por defecto, el puerto es el 80, tampoco lo ponemos.

El dia 4/11/2003, curiosamente (digo curiosamente, porque las casualudades a veces parecen "causalidades") publiqué en los grupos de noticias:

news://dakotabcn.net/dakota.publico...xp.general

un mensaje titulado: "viejos engaños...". Os aconsejo que mireis el holo de la conversacion y saqueis vuestras propias conclusiones. Como un pequeño resumen, empezaba:

supongo que si veis una direccion de este estilo:

http://www.microsoft.com:support%4062%2e57%2e115%2e225/download/KB254678_sp2.exe

¿sabreis lo que quiere decir ¿no?


Es tan simple, que "parece" que es un link a Microsoft. Pero no lo es. Realmente es un ling a la direccion IP: 62.57.115.225

Recordemos que en una URL puede sustituirse cualquier simbolo por %xx siendo xx la conversion hexadecimal del simbolo. La @ es un 40, y el punto es un 2e. Por tanto, traduciendo un poco lo anterior, queda:

http://www.microsoft.com:support@62.57.115.225/download/KB254678_sp2.exe

Es dcier, se accede al programa KB254678_sp2.exe que está en el servidor de internet 62.57.115.225 (no es el de Microsoft, por supuesto) con el usuario www.microsoft.vom y la password "support".

Cualquier usuario se habría tragado el engaño creyendo que descara un parche de MS y lo que está haciendo es metiendose un virus como una catedral (por ejemplo).

En el hilo en cuestion, teneis mas ejemplos y la explicacion de todos ellos.


* Y esto... un mes antes..

Pero no es un bug. Es diseño del tcp, y además, si lo filtramos... cuidado: el server Apache lo usa internamente para un monton de sus paginas y sobre todo de paquetes estandares que ruedan sobre Apache y que utilizan masivamente en Internet muchos sitios Web. Por tanto, si se filtra, se corre el peligro de cargarnos mas de un 20% de la red que lo está usando.


Y repito... el resto de Navegadores funcionan Igual. Probadlo con Mozilla este simple ejemplo:

http://www.nytimes.com%01%00@www.hispasec.com/directorio/laboratorio/Software/tests/nyt/nyt.html

el cual es una variante de lo anterior y os creereis que estais en la paginas del NewYork Times.



VULNERABILIDAD RECURSIVA DE ATAQUE DOS

Este es peor todavia y muchisimo mas viejo. Quien quiera "experimentarlo", existe esta pagina usada desde hace mucho tiempo para hacer bromas. Viejo, realmente viejo.

http://www.albinoblacksheep.com/flash/you.html


* La conclusion, es que se está sacando punta, y cazando brujas a base de cualquier informacion en la red.

Y una segunda conclusion: casualidad... o causalidad.



Jose Manuel Tella Llop
MS MVP - DTS
jmtella@compuserve.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Preguntas similare

Leer las respuestas

#1 Juan F.R.
14/12/2003 - 22:29 | Informe spam
Interesante artículo. Recuerdo aquélla discusión en Dakota.

Saludos.

"JM Tella Llop [MS MVP] ·" escribió en el mensaje
news:
Sobre las dos ultimas vulnerabilidades publicadas
-

Hace unos dias ha saltado una noticia (por ejemplo, publicada por Hispasec)
que acusaba a los navegadores de Microsoft de un par de Bugs que vamos a ver
a continuacion.

No solo la noticia peca de escandalosa, sino que además sucede igualmente
con el resto de exploradores (o al menos tambien pasa con el
Mozilla -comprobado-)


URL's mal construidas

Lo primero que hay que matizar es que no son mal construidas. Son
construidas perfectamente y de acuerdo con la RFC que define los protocolos
de internet y su sintaxis.

En particular la sintaxis completa de una pagina web es:

http://usuario::puerto

Lo que sucede es que normalemtne no accedemos con usuario / password y como
por defecto, el puerto es el 80, tampoco lo ponemos.

El dia 4/11/2003, curiosamente (digo curiosamente, porque las casualudades a
veces parecen "causalidades") publiqué en los grupos de noticias:

news://dakotabcn.net/dakota.publico...xp.general

un mensaje titulado: "viejos engaños...". Os aconsejo que mireis el holo de
la conversacion y saqueis vuestras propias conclusiones. Como un pequeño
resumen, empezaba:

supongo que si veis una direccion de este estilo:

http://www.microsoft.com:support%4062%2e57%2e115%2e225/download/KB254678_sp2.exe

¿sabreis lo que quiere decir ¿no?


Es tan simple, que "parece" que es un link a Microsoft. Pero no lo es.
Realmente es un ling a la direccion IP: 62.57.115.225

Recordemos que en una URL puede sustituirse cualquier simbolo por %xx siendo
xx la conversion hexadecimal del simbolo. La @ es un 40, y el punto es un
2e. Por tanto, traduciendo un poco lo anterior, queda:

http://www.microsoft.com:/download/KB254678_sp2.exe

Es dcier, se accede al programa KB254678_sp2.exe que está en el servidor de
internet 62.57.115.225 (no es el de Microsoft, por supuesto) con el usuario
www.microsoft.vom y la password "support".

Cualquier usuario se habría tragado el engaño creyendo que descara un parche
de MS y lo que está haciendo es metiendose un virus como una catedral
(por ejemplo).

En el hilo en cuestion, teneis mas ejemplos y la explicacion de todos ellos.


* Y esto... un mes antes..

Pero no es un bug. Es diseño del tcp, y además, si lo filtramos... cuidado:
el server Apache lo usa internamente para un monton de sus paginas y sobre
todo de paquetes estandares que ruedan sobre Apache y que utilizan
masivamente en Internet muchos sitios Web. Por tanto, si se filtra, se corre
el peligro de cargarnos mas de un 20% de la red que lo está usando.


Y repito... el resto de Navegadores funcionan Igual. Probadlo con Mozilla
este simple ejemplo:

http://www.nytimes.com%01%/director...t/nyt.html

el cual es una variante de lo anterior y os creereis que estais en la
paginas del NewYork Times.



VULNERABILIDAD RECURSIVA DE ATAQUE DOS

Este es peor todavia y muchisimo mas viejo. Quien quiera "experimentarlo",
existe esta pagina usada desde hace mucho tiempo para hacer bromas. Viejo,
realmente viejo.

http://www.albinoblacksheep.com/flash/you.html


* La conclusion, es que se está sacando punta, y cazando brujas a base de
cualquier informacion en la red.

Y una segunda conclusion: casualidad... o causalidad.



Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
Respuesta Responder a este mensaje
#2 Juan F.R.
14/12/2003 - 22:29 | Informe spam
Interesante artículo. Recuerdo aquélla discusión en Dakota.

Saludos.

"JM Tella Llop [MS MVP] ·" escribió en el mensaje
news:
Sobre las dos ultimas vulnerabilidades publicadas
-

Hace unos dias ha saltado una noticia (por ejemplo, publicada por Hispasec)
que acusaba a los navegadores de Microsoft de un par de Bugs que vamos a ver
a continuacion.

No solo la noticia peca de escandalosa, sino que además sucede igualmente
con el resto de exploradores (o al menos tambien pasa con el
Mozilla -comprobado-)


URL's mal construidas

Lo primero que hay que matizar es que no son mal construidas. Son
construidas perfectamente y de acuerdo con la RFC que define los protocolos
de internet y su sintaxis.

En particular la sintaxis completa de una pagina web es:

http://usuario::puerto

Lo que sucede es que normalemtne no accedemos con usuario / password y como
por defecto, el puerto es el 80, tampoco lo ponemos.

El dia 4/11/2003, curiosamente (digo curiosamente, porque las casualudades a
veces parecen "causalidades") publiqué en los grupos de noticias:

news://dakotabcn.net/dakota.publico...xp.general

un mensaje titulado: "viejos engaños...". Os aconsejo que mireis el holo de
la conversacion y saqueis vuestras propias conclusiones. Como un pequeño
resumen, empezaba:

supongo que si veis una direccion de este estilo:

http://www.microsoft.com:support%4062%2e57%2e115%2e225/download/KB254678_sp2.exe

¿sabreis lo que quiere decir ¿no?


Es tan simple, que "parece" que es un link a Microsoft. Pero no lo es.
Realmente es un ling a la direccion IP: 62.57.115.225

Recordemos que en una URL puede sustituirse cualquier simbolo por %xx siendo
xx la conversion hexadecimal del simbolo. La @ es un 40, y el punto es un
2e. Por tanto, traduciendo un poco lo anterior, queda:

http://www.microsoft.com:/download/KB254678_sp2.exe

Es dcier, se accede al programa KB254678_sp2.exe que está en el servidor de
internet 62.57.115.225 (no es el de Microsoft, por supuesto) con el usuario
www.microsoft.vom y la password "support".

Cualquier usuario se habría tragado el engaño creyendo que descara un parche
de MS y lo que está haciendo es metiendose un virus como una catedral
(por ejemplo).

En el hilo en cuestion, teneis mas ejemplos y la explicacion de todos ellos.


* Y esto... un mes antes..

Pero no es un bug. Es diseño del tcp, y además, si lo filtramos... cuidado:
el server Apache lo usa internamente para un monton de sus paginas y sobre
todo de paquetes estandares que ruedan sobre Apache y que utilizan
masivamente en Internet muchos sitios Web. Por tanto, si se filtra, se corre
el peligro de cargarnos mas de un 20% de la red que lo está usando.


Y repito... el resto de Navegadores funcionan Igual. Probadlo con Mozilla
este simple ejemplo:

http://www.nytimes.com%01%/director...t/nyt.html

el cual es una variante de lo anterior y os creereis que estais en la
paginas del NewYork Times.



VULNERABILIDAD RECURSIVA DE ATAQUE DOS

Este es peor todavia y muchisimo mas viejo. Quien quiera "experimentarlo",
existe esta pagina usada desde hace mucho tiempo para hacer bromas. Viejo,
realmente viejo.

http://www.albinoblacksheep.com/flash/you.html


* La conclusion, es que se está sacando punta, y cazando brujas a base de
cualquier informacion en la red.

Y una segunda conclusion: casualidad... o causalidad.



Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
Respuesta Responder a este mensaje
#3 Anonimo
14/12/2003 - 22:55 | Informe spam
http://www.nytimes.com%01%/director...t/nyt.html

Además de XXXXXXXX (censurado), tramposo.

Claro, y tu no has probado con la que te pusieron antes, la "original" de hispasec (y luego llamas manipuladores y maliciosos a los demas)

http://www.nytimes.com%/directorio/laboratorio/Software/tests/nyt/nyt.html

Al poner eso en IE, qué aparece en la barra de direcciones?
Al poner eso en Mozilla, qué aparece en la barra de direcciones?

Haz una captura y ponlo aquí, si tienes lo que hay que tener.

Estudia, anda, estudia...
Respuesta Responder a este mensaje
#4 JM Tella Llop [MS MVP] ·
14/12/2003 - 23:06 | Informe spam
Javier, está en los foros de:
news://dakotabcn.net/dakota.publico...xp.general

puedes ir y "verlo". No voy a dejar aquí otro medio mega para descarga.

Y por favor, estudia primero antes de emitir opinones. No puedes opinar de lo que desconoces. ¿o si?. ¿tiens capacidad para juzgar lo que es un bug o no por mostrar o no mostrar la barra de direcciones?.

Estas envenenado con esto, y no te deja juzgar (para el resto de participantes del foro, pueden ver el Hilo que ha montado este elemento en el grupo de Seguridad colgando de un mensaje sobre el cortafuegos Kerio).

Y por cierto Javier, hay que saber leer TODO el articulo y no entresacar lo que te interesa. Revisa el hilo mio de UN MES ANTES de la vulnerabilidad. Del 4/11.

¿causalidad?.. :-)

Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


wrote in message news:13b8501c3c28d$03f4ad90$
http://www.nytimes.com%01%/director...t/nyt.html

Además de XXXXXXXX (censurado), tramposo.

Claro, y tu no has probado con la que te pusieron antes, la "original" de hispasec (y luego llamas manipuladores y maliciosos a los demas)

http://www.nytimes.com%/directorio/laboratorio/Software/tests/nyt/nyt.html

Al poner eso en IE, qué aparece en la barra de direcciones?
Al poner eso en Mozilla, qué aparece en la barra de direcciones?

Haz una captura y ponlo aquí, si tienes lo que hay que tener.

Estudia, anda, estudia...
Respuesta Responder a este mensaje
#5 Anonimo
14/12/2003 - 23:16 | Informe spam
Yo no soy Javier, soy otro, hijito... adivina mi nombre.

Nada, que no te da la gana de reconocerlo. Fin del hilo. Hasta la proxima.

Javier, está en los foros de:
news://dakotabcn.net/dakota.publico...xp.general

puedes ir y "verlo". No voy a dejar aquí otro medio mega para descarga.

Y por favor, estudia primero antes de emitir opinones. No puedes opinar de lo que desconoces. ¿o si?. ¿tiens capacidad para juzgar lo que es un bug o no por mostrar o no mostrar la barra de direcciones?.

Estas envenenado con esto, y no te deja juzgar (para el resto de participantes del foro, pueden ver el Hilo que ha montado este elemento en el grupo de Seguridad colgando de un mensaje sobre el cortafuegos Kerio).

Y por cierto Javier, hay que saber leer TODO el articulo y no entresacar lo que te interesa. Revisa el hilo mio de UN MES ANTES de la vulnerabilidad. Del 4/11.

¿causalidad?.. :-)

Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


wrote in message news:13b8501c3c28d$03f4ad90$
http://www.nytimes.com%01%/director...t/nyt.html

Además de XXXXXXXX (censurado), tramposo.

Claro, y tu no has probado con la que te pusieron antes, la "original" de hispasec (y luego llamas manipuladores y maliciosos a los demas)

http://www.nytimes.com%/directorio/laboratorio/Software/tests/nyt/nyt.html

Al poner eso en IE, qué aparece en la barra de direcciones?
Al poner eso en Mozilla, qué aparece en la barra de direcciones?

Haz una captura y ponlo aquí, si tienes lo que hay que tener.

Estudia, anda, estudia...

.

Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida