jueves, 19 de agosto de 2004

Vulnerabilidad Drag-and-Drop en Internet Explorer

Publicados los detalles de una vulnerabilidad, considerada crítica,
que afecta a Internet Explorer en sus versiones 5.01, 5.5 y 6.0. Un
atacante podría diseñar una página web que instalara un programa
dañino en el sistema del usuario al pinchar en un objeto. Hasta el
momento no hay parche para corregir el problema, los sistemas
Windows XP con Service Pack 2 instalado también son vulnerables.

En un escueto mensaje en la lista Full-Disclosure se ha publicado la
prueba de concepto, disponible en la dirección:

http://www.malware.com/wottapoop.html

Accediendo a dicha dirección con Internet Explorer aparecerán dos
líneas rojas y una pequeña imagen a la izquierda (un "smile"
aplaudiendo). Si pinchamos en la imagen y, sin dejar de presionar,
arrastramos y soltamos entre las dos líneas rojas ("Drag-and-Drop",
arrastrar y soltar), se habrá instalado en nuestro sistema un
ejecutable, "malware.exe", en la carpeta de Inicio. De forma que
cada vez que iniciemos una sesión en el sistema el programa se
ejecutará. Para ver su efecto podemos, por ejemplo, reiniciar el
sistema.

En esta ocasión el ejecutable "malware.exe" es una pequeña demo
que al ejecutarse simula unas llamas, como si nuestra pantalla
estuviera ardiendo (pulsando cualquier tecla desaparecerá). La
desinstalación del ejecutable pasa por su eliminación de la carpeta
de Inicio.

En lugar de una demo inofensiva, un atacante podría haber introducido
un virus o un troyano que le permitiera controlar el sistema de forma
remota. También podría diseñarse un script para explotar la
vulnerabilidad de forma más sencilla, sin necesidad de arrastrar y
soltar, aun necesitando la interacción del usuario.

La vulnerabilidad, derivada de una falta de comprobación y/o aviso
a la hora de arrastrar y soltar contenidos entre Internet y el
sistema local, no tiene de momento respuesta por parte de Microsoft.

Las soluciones para prevenir un potencial ataque basado en esta
vulnerabilidad pasan por desactivar la Secuencia de comandos ActiveX
en la configuración de Internet Explorer, cambio que podría provocar
que algunos sitios web no se visualicen de forma correcta. En su
defecto, se pueden utilizar otros navegadores que no presentan la
vulnerabilidad, como Firefox o similar.


Bernardo Quintero
bernardo@hispasec.com


Más información:

[Full-Disclosure] What A Drag II XP SP2
http://lists.netsys.com/pipermail/full-disclosure/2004-August/025471.html