La última vulnerabilidad de Internet Explorer, “Cookie-based Script
Execution”, facilita el diseño de virus y gusanos que utilicen las
cookies como vehículo de propagación y ejecución automática. En
realidad, cualquier formato de archivo es susceptible de albergar
un virus.
Hace apenas unas semanas, un editor técnico de una conocida compañía
antivirus publicaba un artículo en el que declaraba: “Sin embargo,
mucha gente teme que en la cookie venga almacenado un virus o sirva
para que nos roben información. Eso es completamente erróneo, ya que
una cookie nunca podrá almacenar código ejecutable, que es lo que
necesita un virus para poder llevar a cabo sus acciones. E incluso en
el remoto caso de que un virus tratara de ocultarse en una cookie,
nunca habría ningún proceso que pudiera ponerlo en funcionamiento, ya
que, al no estar pensadas para eso, a ningún programador se le pasaría
por la cabeza intentar lanzar la ejecución del código de la cookie.”
Nunca digas nunca jamás. La propia Microsoft describe en su último
boletín de seguridad como una vulnerabilidad de su navegador permite,
además de almacenar código en una cookie (algo que ya era posible
antes), forzar la ejecución automática del script en la zona local
del sistema del usuario que visita el web.
Las cookies no son las únicas afectadas, hemos podido ver casos
similares de formatos de archivo que a priori son seguros y que sin
embargo podían ser utilizados para ejecutar código arbitrario
aprovechando vulnerabilidades en las aplicaciones encargadas de
interpretarlos (Real Audio, ASF, MP3, Flash, etc.), en muchas
ocasiones explotando desbordamientos de buffer. El peligro en estos
casos concretos radica en la posibilidad de forzar la ejecución de
código arbitrario de forma automática, ya que el almacenar código
ejecutable bajo cualquier extensión de archivo siempre es posible.
Por ejemplo, hace tres años, durante los tests de la comparativa
antivirus 1999 de Hispasec, pude comprobar la efectividad de algunos
motores antivirus para detectar los virus scripts para IRC. Las
heurísticas y detecciones genéricas funcionaban ya que son especímenes
básicos donde es fácil identificar el código utilizado para
propagarse, en la mayoría de los casos realizando un DCC del archivo
infectado a los usuarios que entran en el canal de la víctima.
Como prueba de concepto, para su utilización exclusiva en el
laboratorio y de cara a analizar la efectividad de las soluciones
ante nuevas formas, diseñé varios especímenes con la idea de burlar
a los antivirus. Uno de ellos consistía precisamente en utilizar
un formato de archivo no considerado peligroso por los antivirus
donde almacenaría en él la mayor parte del código. De esta forma,
un archivo .TXT hospedaba la mayor parte del virus/gusano, mientras
que en el script.ini sólo incluía el código necesario para leer en
memoria los comandos del virus que había almacenado en el .TXT.
El virus resultaba operativo, era capaz de reproducirse a nuevos
usuarios enviando ambos archivos, sin embargo ningún antivirus logró
detectar por defecto el virus, ya que no analizan los archivos con
extensión .TXT.
En definitiva, aunque algunos formatos son más propensos a ser
utilizados por los virus por su facilidad de ejecución, no debemos
olvidar que cualquier formato puede contener código malicioso, bien
a la espera de que otro proceso lo lea e interprete, o provocando
la ejecución directa y automática tras explotar alguna vulnerabilidad
concreta. Por todo lo anterior, y como consejo final, no está de más
que de forma regular realicemos análisis a demanda de todo el sistema,
configurando previamente nuestros antivirus para que analicen todas
las extensiones de archivo.
bernardo@hispasec.com
Más información:
Parche crítico para Internet Explorer versiones 5.01, 5.5 y 6
http://www.hispasec.com/unaaldia.asp?id=1254
Problema de seguridad en RealPlayer
http://www.hispasec.com/unaaldia.asp?id=1188
Vulnerabilidad en el procesador de archivos asf de Windows Media Player
http://www.hispasec.com/unaaldia.asp?id=1126
Nueva vulnerabilidad en Windows Media Player
http://www.hispasec.com/unaaldia.asp?id=1006
Posibilidad de ejecución de código mediante Flash
http://www.hispasec.com/unaaldia.asp?id=802
Vulnerabilidad en Winamp
http://www.hispasec.com/unaaldia.asp?id=638
Deja un comentario