domingo, enero 17, 2010

Y se destapó el misterio del 0 day en IE

Como sucede en todas las historias que tienen que ver con exploits de 0 days en la red la desinformación suele aparecer al principio de todo. Con el famoso exploit de IE que ha estado azotando medio mundo (parece que no eres nadie si no has sido atacado por él) se ha especulado mucho sobre el ataque que se estaba realizando.

La vulnerabilidad fue reconocida por Spectra que sacó una advisory en que el que reconocía la peligrosidad pero en el que también decía que el Modo Protegido de IE7 e IE8 ayudaba a mitigar la vulnerabilidad.

Y algo debían saber, resulta que cuando se ha hecho público el exploit, este no funcionaba en equipos que tuvieran el IE con el DEP Activado o el Modo Protegido. Es decir, que si tenías el IE 8 en cualquier sistema no eras vulnerable. Esta es la tabla de riesgos que ha publicado el equipo de Spectra que ha estado investigando.


Figura 1: Tabla de riesgos ante el exploit usado

Internet Explorer 8, Windows 7 y Windows Vista salían bien parados. Al final, cuando muchos han recomendado otras acciones mucho más drásticas para solucionar el equipo, yo voy a recomendar que el que lo haga que se lo piense, que al final parece que, aunque no invulnerables las medidas de protección, sí que resultan muy útiles tenerlas activas. Así que la tablita esa que yo os publiqué con tanto “malor” en la que miraba las opciones de DEP, ASLR, Arquitectura Mono/Multi, Virtual Store y niveles MIC no va a ser una tontería.


Figura 2: Hall of Fame Maligno

Tal vez, los que inventaron el concepto de Defensa en Profundidad sabían un poco de esto de seguridad pero claro, siempre puedes fiarte de los informes de seguridad de la OCU.

Saludos Malignos!

33 comentarios:

Anónimo dijo...

Chema mira esta noticia: http://meneame.net/story/alemania-recomienda-oficialmente-dejar-usar-explorer

Román Ramírez dijo...

En la lista de full-disclosure Marc Maiffret estaba comentando más o menos lo mismo que tú.

Con todos estos temitas del superespectáculo del 0day se les infla la boca a los publicadores y eso tiene consecuencias nefastas.

Amigo de las sepias II el regreso dijo...

Maligno enciendete un poco mas mira estos comentarios y como no la "noticia" http://www.fayerwayer.com/2010/01/gobierno-aleman-recomienda-dejar-de-usar-internet-explorer/

Yijaaaaa

Chema Alonso dijo...

@Anónimo y Amgio de las Sepias II, eso es cagarla a lo campeón. ¿Qué harán cuando se explote masivamente uno de los n fallos de seguridad que tiene firefox o un nuevo 0-day en él? ¿Recomendar que no lo usen? Estos se piensan que para las empresas cambiar de una aplicación a otro es darle a un botón...

@PatoWC, es que clama al cielo.


Saludos Malignos!

elPerroVerde dijo...

http://www.fayerwayer.com/2010/01/gobierno-aleman-recomienda-dejar-de-usar-internet-explorer/

Germany VS I.Explorer!!!!!!!!!

Anónimo dijo...

y ahora que me empezaba a gustar eso de los grupos de pestañas en colores del IE8...p*tos alemanes!
:P

saludos

FilEMASTER dijo...

Nada como un buen:


ZAS, en toda la boca...

para empezar bien el día XDDDDDDDDDDDDDDDDDDDDDD

pepe dijo...

Buen error he encontrado aquí, por si acaso alguien se encarga de usar una navegador seguro las páginas te obligan a usar alguno más antiguo...xD

https://ssweb.mpt.es/metropolis/frontend/error.php?error_num=200

Saludos!

Anónimo dijo...

¿Existe o no existe el 0 day?...

Chema córtate el pelo que te tapa ya los ojos y no te deja ver la realidad. No me seas talibán que últimamente solo leo flames tuyos.

Tienes los humos tan altos que hasta publica un post para enseñar al resto lo importante que eres en google... increíble.

Aix, HpUX, XBSD, Windows, Solaris, Windows, etc... tienen cosas buenas y malas, y cuando algo es malo es malo, lo que no se puede hacer es que cuando sea algo malo en Windows intentes disminuir la importancia del asunto y cuando le toca a otro SO intentes aumentar su importancia. ¿Sera el precio del MVP?.

Una vez dijo un persona, que la diferencia entre un periodista y un político es que el periodista dice lo que ve, y el político dice lo que quiere ver.

Con todo el respeto del mundo.

Chema Alonso dijo...

@Anónimo peluquero, a día de hoy ya no podemos hablar de exploit de 0day, pero si hablamos del que existió, como ya se sabe, afectó a XP con IE 6 e IE7.

La vulnerabilidad, que es distinto, existe hasta que Spectra saque un parche.

Si has pensado que el post de Google era para ver "lo importante que soy" es que no has entendido mi parco sentido del humor y no te has leído el link (linkado ene veces en ese post) del chapapote.

No es el precio por ser MVP, quizá ¿tal vez al revés? ¿Has leído todas las tonterías que se han dicho de gente desinformada a este respecto durante los últimos días? ¿Gente que ni tan siquera tiene puta idea de de seguridad?

¿Soy el único al que le indigna cuando un tonto le explica su trabajo?

Saludos desde mi eterna adolescencia.

Anónimo dijo...

¿No te gusta que la gente exagere los problemas de Spectra? Jódete, va en el sueldo.

Lo que no se puede que se hagan gráficas llenándose la boca con el chorrecientos porcentaje de uso de IE, XP, Vista y 7 y que MS arrasa, que somos los mejores y que después salga una cagada y pase desapercibida.

Con una cuota de mercado tan alta ¿qué esperas?

Y no metas ASR, MIC.. y Firefox en esto.

Puta manía de no asumir y minimizar las cagagas. La caga en este caso es de MS ¡¡¡Que lo arreglen y santas pascuas!!!

Lo que debería ser es dejarse de chorradas y sacar un parche y dejarse de decir: no es tan importante, no influye si venus se alinea con marte... excusas coño, saca un parche y arréglalo y tápate.

Y para que a todo el mundo le quede claro, la defensa en profundidad no es un concepto que haya inventado Microsoft, porque vaya, con tu comentario no me queda nada claro.

Usuario Principiante dijo...

DEP está activado por defecto en Windows XP ?

Cómo puedo saber si está activado en mi equipo ?

Cómo lo activo si no está activado ?

Qué conflictos puede ocasionar a aplicaciones de terceros ?

Andrés dijo...

Una pregunta sincera desde mi más profunda ignorancia: si un fallo similar existiese en Chrome, ¿serviría de algo su modelo de sandboxing?

Anónimo dijo...

"¿Soy el único al que le indigna cuando un tonto le explica su trabajo?"

Si quieres ahora te explico la educación mínima hacia tus lectores.

Y lo vuelvo a repetir, por favor expón las cosas como son, no como quieres verlas. Conforme pasan más y más entradas en tu blog, cada vez más parece que las escriba otra persona, el mismo MS diría yo.

Tú vales mucho más que todo esto, no caigas en ese error, por que cada vez dan menos ganas de leer las entradas, ya sabes lo que vas a leer antes de leerlo.

Un besito profe Chemita :D.

Chema Alonso dijo...

No sé de donde has sacado la rara idea de que Spectra no está trabajando en un parche. Todas las vulnerabilidades que suponen un riesgo para sus clientes se parchean de la mejor manera posible y lo antes posible. No han minimizado el problema, y han clarificado al realidade del exploit. Aunque por tu comentario parece que tú prefieres que se exagere.

Hay que meter a ASLR, y al MIC y al UIPI y a todos los demás, proque demuestran que funcionan.

Respecto al tema de Defensa en profundidad, lo publicó la NSA basada en el trabajo de unos investigadores. Uno de ellos Michael Howar, responsable de seguridad en vista y Windows 7 y creador del SDL de Spectra.

http://www.nsa.gov/ia/_files/support/defenseindepth.pdf
https://buildsecurityin.us-cert.gov/daisy/bsi/articles/knowledge/principles/347-BSI.html

Saludos!

@Usuario principiante, bajate Process Explorer y mira si tienen DEP activo tus procesos. En XP, a partir del SP2 tienes que activarlo en el panel de control.

@Andrés

el sandboxing es sólo de pestaña a pesataña. Si se rompe la seguridad de chorme sólo debería acceder a lo que el MIC le permita dentro del sistema. Eso sí, no aplica Virtual Store, así que ve el registry y el HD tal como es.


Andrés dijo...
Una pregunta sincera desde mi más profunda ignorancia: si un fallo similar existiese en Chrome, ¿serviría de algo su modelo de sandboxing?

17/1/10 5:10 PM

@ Anónimo educad@,

me refiero a los tecnicoless que han publicado tanta tontería, no a los lectores. Aunque para algún troll también se lo aplicaría cohones.

Úlitmamente estaba un poco más tranquilo, pero si miras el historial de mi blog sabrás pq me pusieron "maligno" ;) Además, cuando ponga Spectra en la tag,... ya sabes de que va el rollo.

Un besito a tí tb ;)

RoMaNSoFt dijo...

@chemita: lo de la "defensa en profundidad" es algo tan viejo y tan genérico que no creo que sea tan fácil de atribuir a nadie (menos a NSA o a Howard, como dices!!!). Es un concepto del mundo militar, que tiene que tener más años que el sol ;-) (no, no lo inventó M$ xDDD).

Lo del 0day, bueno, no hay que avergonzarse de nada, ocurre en las mejores familias (en todas, de hecho jeje). Por supuesto, también en M$ (como ha sido este último y sonado caso }:-)).

:**
-r

Chema Alonso dijo...

@RoMaNSoFt, sí, ha sido un 0day, pero las noticias eran que te iban a pwnear tu Win7 con IE8 así por la cara con un exploit que había rulando por ahí y la verdad ha sido otra.

Lo de Defensa en Profundidad pueder ser tan antiguo como lo del Mínimo privilegio posible o el mínimo punto de exposición, pero tiene que venir alguien a poner orden y sentido en su aplicación.

Cuando toca hacer un paper en el que se referencia ese término en informática, toca referenciar writting secure code....

Saludos!

tayoken dijo...

Chema: Según secunia, el problema es "Extremely critical" en IE8 también..

http://secunia.com/advisories/38209/

¿O es que este es otro que también sigue unpatched?

Chema Alonso dijo...

@Tayoken, totalmente de acuerdo. El advisory de Spectra no quitaba ni un ápice de gravedad al asunto. Pero en el caso del exploit que se ha utilizado no afectaba ni a Vista, ni a W7 ni a IE8 pq las medidas de protección dificultan precisamente eso, la creación de exploits. ¿que no se pueda hacer? Claro que se podrá hacer, pero tal vez sea un poco más complejo o se necesite de un atacante más entrenado. Ahí queda el paper de Sotirov saltandose ASLR, DEP y ene protecciones más...

Saludos!

Jose Selvi dijo...

Yo estoy de acuerdo con @RoMaNSoFt, lo de los Zero Day para hasta en las mejores familias, no pasa nada, lo importante es que saquen el parche lo antes posible, pero mientras tanto (y esta es mi opinión) la situación está así:

* XP + IE6 = Explotable con exploit público
* XP + IE7 = Explotable pero habría que hacer algunas modificaciones en el Exploit
* XP + IE8 = La vulnerabilidad zero day existe y ES explotable, pero el exploit se complica ya que hay que saltarse DEP, y no SE CONOCE hasta ahora ningún exploit "on the wild" que lo explote, aunque podría existir igual que existía el otro antes de ser usado contra Google.
* Vista/7 + IE7/8 = Más o menos lo mismo que antes, la vulnerabilidad existe y es crítica, pero no tenemos conocimiento de que exista ningún exploit que funcione.

En este contexto, yo SI recomendaría que se dejara de usar Internet Explorer hasta que salga el parche, sea cual sea tu caso, o bien que se desactive Javascript y se asuma que va a haber webs que no van a funcionar, pero vamos, no es un consejo anti-MS, diría lo mismo si el fallo fuera en Firefox, Adobe o cualquier otro software, y evidentemente soy consciente que para una gran empresa decir "vamos a cambiar todos los IE por FF o Chrome" es una putada grandísima, pero ahí ya entra la decisión de las empresas de decidir que les merece más la pena, si arriesgarse pensando que no van a ser víctima de un exploit para Windows 7 + IE8 del que no se tiene conocimiento o asumir el coste de cambiar de navegador momentaneamente, bloquear el Javascript, o intentar detectar por medio de IDS si alguna máquina es explotada, aunque he estado pensando mirando el exploit de metasploit y crear una firma Snort no me parece algo nada fácil para esta vuln.

Saludos!

Unknown dijo...

Chema no te indignes, el que se quiera informar que se informe y saque sus opiniones. Siempre habrá gente que critique por ser el producto de MS(hay cosas buenas y malas como en todas las casas) y los que piensen que ser mvp ya te has vendido, peor para ellos, estarán mas desinformados. En mi opinión lo mejor es informarse y sacar tu conclusión(el pensar nos hace libres) independientemente que lo diga ms, un mvp, un guru,...
Saludos,
Patxi

Anónimo dijo...

Pues no sé como puede ser que sea tan malo el firefox y todavía no haya estado emtido en estos asuntos que son habituales para el explorer.

Ni como puede ser que sea tan malo el gmail pero me acierta los correos falsos y spam al 100% cuando el hotmail no hace más que ponerme la etiqueta de "posible spam" y se queda tan campante el jodio, ahi en l bandeja de entrada. Menudas putas mierdas que hace microsoft.

Chema Alonso dijo...

@anónimo, sí que ha estado metido en algunas de estas...

http://www.securitybydefault.com/2009/12/firefox-y-el-malware.html

Anónimo dijo...

Ante todo, gracias por la información de la entrada. :)

Aún me queda una duda (en realidad son varias), porque como de costumbre con tanta mierda (hablando pronto y mal) que se ha vertido sobre el asunto, no termino de tener claro cómo ha sido el tema de los ataques a empresas.
Así que a ver si alguien por aquí lo puede resolver... Comentan en Genbeta que el exploit ha aprovechado la última vulnerabilidad en las aplicaciones de Adobe, mediante un PDF adjunto en correo electrónico. Entonces, ¿ha sido un ataque directo difícil de evitar por aprovechar fallos de seguridad (tanto el de IE como el de Adobe), o ha podido ser por una mezcla de bugs, mala configuración de seguridad y (especialmente) usuarios que abren archivos maliciosos?
¿Haría falta necesariamente usar IE con el fallo de seguridad, o podrían reproducirse los ataques usando otros navegadores en un sistema con las políticas de seguridad al mínimo (y el Adobe sin parchear)? ¿Es necesario abrir el PDF malicioso (da la impresión de ser así) o basta con, ej., descargarlo al ordenador o tenerlo en la bandeja de entrada aunque no se ejecute?

Anónimo dijo...

http://www.securitybydefault.com/2009/12/firefox-y-el-malware.html

???

Ohh! existe malware para firefox!! Descubrimiento! qué será lo próximo?, que algunas personas son malas y hacen daño? eso es todo lo que tienes que decir para defender al explorer del hecho de que ha sido utilizado, sin extensiones ni nada, tal y como viene de fábrica, para putear a un montón de multinacionales? Eso ha sido una cagada como un templo, y no es la primera ni será la última.

Y encima un estudio de symantec, esa empresa tan fiable que una vez sacó un estudio diciendo que windows era más seguro que linux porque linux había sido atacado N veces y windows N/100 veces, cuando en realidad lo que pasaba es que el windows ni se enteraba de que le habían atacado y ademas recibia menos intentos de ataque porque estaba instalado en menos servidores. Cosa que el estudio de esta empresa que se dedica a vender programas para windows parece que ignoró.

Utilizar el número de vulnerabilidades de un programa como vara de medir la seguridad, cuando comparas un programa que usa el sistema de seguridad mediante oscuridad contra otro que usa el sistema de revelación completa. es simple y llanamente manipular.

Chema Alonso dijo...

@Anonimo, tal y como viene de fábrica no se ha utilizado nada efectivo contra el IE8. ¿Te has leido el post?

Chema Alonso dijo...

@anónimo, y no te olvides de ver los resultados del concurso de Browserschools con los navegadores tal y como vienen de fábrica.

saludos!

Anónimo dijo...

Si total... no es tan peligroso.

¿Te leiste lo que ponen tus colegas de una al día?

Estos de google son tan burros como los de microsoft. Y el resto de empresas que nombran también. Si es que no tienen dinero para seguridad.

Unknown dijo...

"Microsoft's relationship with IE6 and XP is complicated. On the one hand, the company refuses to drop support for IE6 and won't force users to upgrade away from it, and it still makes sure to offer businesses add-ons like Windows XP Mode as well as MED-V. On the other hand, the software giant runs mini campaigns and pushes for users to upgrade away from the ancient applications, usually citing security."
from
http://arstechnica.com/microsoft/news/2010/01/microsoft-wants-you-to-ditch-windows-xp-and-ie6-for-security.ars

dalvarez_s dijo...

We Released a DEP-Bypass Exploit for the Internet Explorer 0Day. So, enabling DEP will not protect you. Disabling JavaScript will. VUPEN.COM

http://twitter.com/VUPEN/status/7942550681

En la web:
While the public exploit only targets Internet Explorer 6 without DEP (Data Execution Prevention), VUPEN Security has confirmed code execution with Internet Explorer 8 and DEP enabled.

Anónimo dijo...

"While the public exploit only targets Internet Explorer 6 without DEP (Data Execution Prevention), VUPEN Security has confirmed code execution with Internet Explorer 8 and DEP enabled."

Ahora si que la hemos liao.
¿Como se desinstala IE en un Win?

Chema Alonso dijo...

@Anónimo, no tanto macho. Ya que se tiene información del problema solo hay que usar las zonas de IE para restringir Javascript a lo sitios de confianza. ¿Ves que fácil? ¿Cómo se hará cuando pase algo así en FF?

Saludos!

UsuarioPrincipiante dijo...

en FF existe un complemento muy popular llamado NoScript que bloquea de forma muy cómoda e interactiva lo que uno quiera.

He tratado de hacer lo mismo con las Zonas de IE7 pero no siempre me funciona igual que con FF + NoScript.

Existe alguna forma de hacerlo a la NoScript en IE8??

Entrada destacada

Cibercriminales con Inteligencia Artificial: Una charla para estudiantes en la Zaragoza

Hoy domingo toca ir a participar en un evento, con una charla y una pequeña demo. Ahora mismo sí, así que el tiempo apremia, os dejo una cha...

Entradas populares