Descubierta una vulnerabilidad XSS en el control ActiveX DHTML Edit de
Internet Explorer que puede ser especialmente aprovechada en ataques
de tipo «phishing». A efectos prácticos, por ejemplo, un atacante
podría simular una página web segura de una entidad bancaria, sin
que el usuario pueda detectar anomalías en la dirección ni en el
certificado de seguridad que aparece en el navegador.
Como prueba de concepto, para comprobar si su versión y configuración
de Internet Explorer es vulnerable, en la siguiente página encontrará
un enlace a http://www.bbvanet.com. Si pincha el enlace y su navegador es
vulnerable, aparecerá una nueva ventana, donde podrá visualizar en el
campo dirección la URL https://www.bbvanet.com/, y en la barra de
estado el candado cerrado que informa que se encuentra en una web
segura. Si hace doble click en el candado, observará el certificado
de seguridad legítimo de http://www.bbvanet.com. Pese a todas esas
indicaciones, la web que se visualiza es de Hispasec.
http://www.hispasec.com/directorio/laboratorio/Software/tests/xssie.html
El problema afecta a Internet Explorer 6.0, incluyendo sistemas
con todas las últimas actualizaciones instaladas y Windows XP con
Service Pack 2.
Para prevenir este tipo de ataques, y a la espera de que Microsoft
publique un parche para corregir el problema, los usuarios de
Internet Explorer pueden optar por desactivar la secuencias de
comandos ActiveX en la configuración de su navegador:
menú Herramientas -> Opciones -> pestaña Seguridad -> botón Nivel
personalizado -> Secuencias de comandos ActiveX -> Desactivar
Si recarga la página con esta nueva configuración de Internet
Explorer, o la visita desde un navegador no vulnerable, como Firefox,
podrá comprobar que al pinchar en el enlace no se abre ninguna nueva
ventana.
bernardo@hispasec.com
Más información:
Original PoC – Paul, GreyHats Security Group
http://freehost07.websamba.com/greyhats/abusiveparent.htm
Secunia PoC
http://secunia.com/internet_explorer_cross-site_scripting_vulnerability_test/
Deja una respuesta