jueves, octubre 15, 2009

ActiveX a la carta en IE8

La seguridad de los controles ActiveX en los navegadores Internet Explorer siempre ha estado en el candelero. La flexibilidad y potencia que ofrece esta tecnología a los desarrolladores de aplicaciones ha hecho que pocos, incluida la industria del malware y sus famosos troyanos BHO, se hayan podido resistir a utilizarlos.

Muchas son las herramientas creadas alrededor de estas tecnologías para poder evaluar la seguridad de los mismos y muchas han sido las veces que han aparecido vulnerabilidades explotadas en los ActiveX. Por supuesto, tuvieron su cuota de popularidad en las conferencias BlackHat e inlcuso su Mes de Bugs dedicados a ellos.

Una de los problemas que existía hasta la versión de Internet Explorer 6 era la imposibilidad de conocer que ActiveX estaban cargados en el navegador sin irse al registro del sistema y perderse por ramas e identificadores. En Internet Explorer 7 se añadió ya por fin el panel de Administración de Complementos que permite, fácilmente, ver que tiene cargado tu sistema y habilitar o deshabilitar los complementos en el navegador a un simple clic. Es fácil saber que tienes cargado algo que no te gusta y es fácil deshabilitar ese algo que no te gusta.


Figura 1: Administrador de Complementos

En Internet Explorer 8 se ha modificado esta funcionalidad haciendo que la carga y la descarga pueda ser realizar por sitio y por usuario. Esta capacidad permite que un usuario pueda tener deshabilitados todos los componetnes ActiveX y habilitar los que le interesen para los sitios que le interesen y nada más.


Figura 2: ActiveX bloqueado. Opciones para habilitar

Para este ejemplo he deshabilitado el componente que ejecuta la máquina Flash de Adobe. Lógicamente, si se entra a visitar alguna de las webs que la utilizan, como por ejemplo Youtube, el resultado es que no va a funcionar. Cuando esto sucede Internet Explorer 8 muestra una barra con un mensaje como el que se aprecia en la imagen siguiente.

Con el menú contextual se aprecia como el componente puede ser habilitado para todos los sitios o, simplemente, para este sitio. Esto generará una excepción que puede ser vista en las propiedades del componente dentro del Aministrador de Complementos.


Figura 3: Propiedades y lista de excepciones

Esta configuración no será para todos los usuarios sino para el úsuario que ha habilitado el componente. El resultado es que se puede establecer una configuración de seguridad de controles ActiveX mucho más granular, habilitandolos por sitio y por usuario. Esto evitaría que si hay una vulnerabilidad que pueda ser explotada en un componente pueda ser atacada desde cualquier sitio. Mola.

Saludos Malignos!

2 comentarios:

Anónimo dijo...

Hola Chema, me parece que te has colado al colocar las imágenes.
Un saludo

Maligno dijo...

@Anonimo, están bien, que no te lien los números ;)

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares