Hola,
He estado haciendo pruebas, para poder paliar el problema del xploit
del IE hasta que salga el parche, y os comento mis impresiones, a ver
si funcionan y podemos mejorarlas.
En principio, las pruebas las he hecho con las muestras del xploit de
hispasec, tanto de descarga de fichero no autorizada, como una
apertura de una consola cmd.
http://www.hispasec.com/directorio/...odrev.html
http://www.hispasec.com/directorio/...drev3.html
Si se usa un fw personal, para usuarios domésticos, se puede hacer que
el xploit no se ejecute, en principio, sería agregando una regla
negando la ejecución del mshta.exe, para tráfico saliente tcp con
puerto remoto http.
De esta forma, he conseguido que las pruebas de hispasec, no se lleven
a cabo y queden bloqueadas, es de esperar que con xploits verdaderos
funcione igual
He realizado la prueba con proxomitron, y en principio, no funciona,
con las emulaciones de hispasec, quizás sea por las reglas del fw
personal, aunque me da que no (a ver si saco tiempo para seguir
investigando).
Esto en principio, solo funciona, para el host que tenga el fw
personal (normalmente usuarios domésticos), en el caso de redes,
habría que ir la siguiente solución.
He realizado pruebas, optimizando la configuración de los antivirus,
la prueba la he realizado, con mcafee v7, con inferiores no
funcionaría.
El tema está en configurar, el módulo hawk script stopper, entonces
analizará el tráfico, en http, y detecta, el intento de inclusión de
un script embebido, no autorizado deteniendolo.
Esto es útil, para redes corporativas, hasta que aparezca la solución
de ms.
No he realizado la prueba con otros antivirus, aunque he oído en el
grupo, que panda, tambien lo puede detectar.
Personalmente, si logramos afinar la configuración del proxomitron,
para redes corporativas, podría llegar a servir, tambien afinando la
configuración de fw de aplicación se podría paliar.
A ver que opinais, y sspero os sea útil.
Jose Antonio Rodriguez Fdez.
no_masillas_josearf@airtel.org
Quitar no_masillas_
Y cambiar punto org por punto net
· Nunca TANTOS debieron TANTO a tan pocos -
Todos los que día a día construimos esta fuente de conocimiento.
Leer las respuestas