lunes, 20 de diciembre de 2004

Nueva técnica de "phishing" afecta a Internet Explorer

Descubierta una vulnerabilidad XSS en el control ActiveX DHTML Edit de
Internet Explorer que puede ser especialmente aprovechada en ataques
de tipo "phishing". A efectos prácticos, por ejemplo, un atacante
podría simular una página web segura de una entidad bancaria, sin
que el usuario pueda detectar anomalías en la dirección ni en el
certificado de seguridad que aparece en el navegador.

Como prueba de concepto, para comprobar si su versión y configuración
de Internet Explorer es vulnerable, en la siguiente página encontrará
un enlace a www.bbvanet.com. Si pincha el enlace y su navegador es
vulnerable, aparecerá una nueva ventana, donde podrá visualizar en el
campo dirección la URL https://www.bbvanet.com/, y en la barra de
estado el candado cerrado que informa que se encuentra en una web
segura. Si hace doble click en el candado, observará el certificado
de seguridad legítimo de www.bbvanet.com. Pese a todas esas
indicaciones, la web que se visualiza es de Hispasec.

http://www.hispasec.com/directorio/laboratorio/Software/tests/xssie.html

El problema afecta a Internet Explorer 6.0, incluyendo sistemas
con todas las últimas actualizaciones instaladas y Windows XP con
Service Pack 2.

Para prevenir este tipo de ataques, y a la espera de que Microsoft
publique un parche para corregir el problema, los usuarios de
Internet Explorer pueden optar por desactivar la secuencias de
comandos ActiveX en la configuración de su navegador:

menú Herramientas -> Opciones -> pestaña Seguridad -> botón Nivel
personalizado -> Secuencias de comandos ActiveX -> Desactivar

Si recarga la página con esta nueva configuración de Internet
Explorer, o la visita desde un navegador no vulnerable, como Firefox,
podrá comprobar que al pinchar en el enlace no se abre ninguna nueva
ventana.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Original PoC - Paul, GreyHats Security Group
http://freehost07.websamba.com/greyhats/abusiveparent.htm

Secunia PoC
http://secunia.com/internet_explorer_cross-site_scripting_vulnerability_test/