Existe una prueba de concepto por si quereis probarlo en este link
http://www.vsantivirus.com/prueba-av.htm
Replicas direccionadas a microsoft.public.es.seguridad
Mozilla, Firefox y Opera eluden inspección de imágenes
http://www.vsantivirus.com/vul-data-120105.htm
Por Angela Ruiz
XXXangela@videosoft.net.uyXXX
Ha sido descubierta una debilidad, que permite a un atacante remoto
eludir las restricciones de los productos antivirus y de otras
tecnologías de seguridad, cuando inspeccionan el contenido de una
imagen en una página HTML.
Sin embargo, solo puede ser explotada en Mozilla, Mozilla Firefox,
Safari, Opera, y posiblemente otros navegadores basados en Netscape.
Internet Explorer no muestra este tipo de imágenes, por lo que es
inmune a esta forma de exploit.
La debilidad puede ser explotada si un atacante codifica en base64 una
imagen maliciosa y la inserta dentro del cuerpo de un documento HTML.
Una explotación exitosa, puede evitar el examen del contenido de la
imagen hasta que la misma es mostrada en el navegador.
Inclusive podría ejecutarse un código malicioso si la imagen intenta
explotar la vulnerabilidad descripta y corregida en el boletín
MS04-028 (Ejecución de código en proceso JPEG,
http://www.vsantivirus.com/vulms04-028.htm).
Para la codificación, se utiliza el siguiente esquema tal como se
especifica en el RFC 2397 (The "data" URL scheme):
data:[<tipo de contenido>][;base64],<datos>
Por ejemplo:
data:image/gif;base64,/9j/4AAQSkZJRgAB[etc...]
Aún así, antivirus como NOD32, detendrían la ejecución del código
malicioso una vez que ha sido decodificado. De todos modos esta
debilidad puede ser considerada como un riesgo importante, por la
posibilidad de ser combinada con conocidas vulnerabilidades a los
efectos de comprometer la seguridad del sistema afectado.
Como Microsoft Internet Explorer no soporta el esquema URL
especificado en el RFC 2397, este exploit no puede ser utilizado en
equipos que lo utilicen como navegador.
Una prueba de concepto ha sido colocada en nuestro sitio. Si al
pinchar sobre el enlace, se muestra una pequeña imagen (en este caso
inofensiva, de solo 3x3 píxeles), puede considerar que su equipo está
en riesgo ante futuros exploits..
Nota: En realidad el termino "vulnerabilidad" en este caso, no es
exactamente un fallo de los navegadores mencionados, ya que se trata
del uso de una característica documentada, aunque prácticamente no
usada.
Los vendedores de antivirus, deberán actualizar sus productos para
examinar o por lo menos advertir de la peligrosidad de esta técnica si
es empleada maliciosamente.
Prueba de concepto:
http://www.vsantivirus.com/prueba-av.htm
Créditos:
Darren Bounds (dbounds at intrusense.com)
Referencias:
Multi-Vendor AntiVirus Gateway Image Inspection Bypass (data:)
http://www.securiteam.com/securityn...0AEKS.html
(c) Video Soft -
http://www.videosoft.net.uy
(c) VSAntivirus -
http://www.vsantivirus.com
Galería de imagenes Ubuntu Linux (Español).
http://www.ubuntu-es.org/image
Leer las respuestas