Varios defectos en Internet Explorer podrían acabar siendo un gran problema

Un experto en seguridad muestra cómo algunos pequeños defectos
podrían permitir que un hacker tuviese acceso a archivos personales.

Internet Explorer es el navegador más popular del mundo, aunque eso no
signifique que sea impenetrable—varios expertos en seguridad acaban de
llamar la atención recientemente sobre la forma en que los hackers
podrían aprovecharse del navegador para espiar a los usuarios. El mes
pasado, una vulnerabilidad en Internet Explorer estuvo implicada en el
ataque de los hackers chinos a Google. Microsoft puso rápidamente un
parche al defecto con una actualización de seguridad especial, pero no
mucho más tarde, Jorge Luis Álvarez Medina, asesor de seguridad para
CORE Security Technologies, con sede en Boston, reveló un método por el
que cualquier atacante podría leer cualquier archivo en el ordenador
del usuario a través de Internet Explorer.

Durante una charla en la Black Hat DC la semana pasada, una conferencia
sobre seguridad informática celebrada en Washington, DC, Medina detalló
la conversión de una serie de defectos aparentemente menores en un
ataque mucho más serio. Normalmente, los archivos guardados en el
ordenador de los usuarios son tratados de forma distinta que aquellos
que se pretende sean accesibles a través de internet. El ataque de
Medina hace que la línea entre los dos tipos de archivos sea borrosa,
permitiendo al atacante tener acceso a los archivos personales a través
de internet. Durante su charla, Medina demostró un tipo de código que
le permitió subir archivos desde el ordenador de un usuario.

Para que el ataque funcione, el usuario de Internet Explorer tiene que
hacer clic en una página web maliciosa. Una vez que el usuario navega
hasta allí, el atacante utiliza una variedad de agujeros y
características en Internet Explorer para reunir información acerca del
ordenador del usuario. Al mismo tiempo, el atacante escribe código
malicioso en el navegador (las páginas web tienen permiso para escribir
código en el navegador, por ejemplo bajo la forma de los archivos de
seguimiento conocidos como “cookies”). El atacante usa lo que ha
aprendido para dirigir al navegador y hacer que abra ese código
malicioso como si proviniese del ordenador del usuario. Si logra
convencer al navegador para que ejecute el código, entonces el atacante
habrá logrado cruzar la línea divisoria entre Internet y la máquina
local del usuario.

Medina lleva algún tiempo investigando este tipo de ataque—CORE
Security publicó un aviso sobre la primera versión de este ataque en
2008. Sin embargo, afirma, Microsoft sólo ha respondido mediante la
publicación de parches enfocados en prevenir que el navegador llegue a
ejecutar el código malicioso—los arreglos no evitan que el atacante
obtenga datos sobre el ordenador del usuario, algo que, potencialmente,
podría conducir a otros tipos de ataques. Medina cree que el ataque
podría detenerse de forma más efectiva mediante el arreglo de los
defectos a lo largo de todos los puntos de la cadena. “No tiene sentido
pensar en este vector si ninguno de los puntos débiles de la cadena son
posibles,” afirma Medina.

Cuando habló con Microsoft acerca del ataque, afirma Medina, la
compañía le dijo que no podía crear parches para algunos de los
defectos. En algunos casos, esto se debía a que los defectos estaban
muy relacionados con ciertas características del navegador. En otros
casos, a la compañía le preocupaba que cualquier arreglo acabase
generando más agujeros de seguridad.

Medina señala que su ataque funciona en la actualidad con todas las versiones de Internet Explorer.

Sin embargo, “los clientes que tengan Internet Explorer 7 o Internet
Explorer 8 en su configuración por defecto de Windows Vista u otros
sistemas operativos posteriores no son vulnerables a este ataque,
puesto que se benefician del Modo Protegido de Internet Explorer, que
otorga protección ante este problema,” afirmó en un comunicado de
prensa Jerry Bryant, director senior de comunicaciones de seguridad en
Microsoft. Añadió que Microsoft ha proporcionado una serie de
instrucciones que los usuarios de XP pueden implementar para proteger
sus ordenadores. Señala, no obstante, que Microsoft no ha tenido
noticia de que el ataque de Medina se haya producido entre el público
general.

El investigador de seguridad independiente Dino Dai Zovi señala que
muchos usuarios de Internet Explorer puede que no se den cuenta de que
están navegando por internet sin haber conectado el Modo Protegido. Dai
Zovi explica que los usuarios a menudo desconectan el control de cuenta
de usuario de Vista, una característica de seguridad cuyo objetivo es
que los usuarios sean conscientes de los privilegios que ejercen las
aplicaciones, puesto que les molestan las continuas pantallas con
preguntas. Lo que normalmente no saben, sin embargo, es que al
desconectar esta característica también se desconecta el Modo Protegido
de Internet Explorer, puesto que se basa en el mismo tipo de mecanismo.
“La mayoría de los usuarios probablemente quieran la protección de
seguridad añadida que proporciona el Modo Protegido de Internet
Explorer,” afirma Dai Zovi.

Medina es consciente de que su ataque no funciona en la actualidad con
el Modo Protegido, aunque insiste en que este modo sólo protege contra
un único aspecto de la amenaza. Recientemente ha estado trabajando para
ver si puede saltarse el Modo Protegido. “Si yo no lo logro, alguna
otra persona lo logrará.”