domingo, enero 17, 2010

Y se destapó el misterio del 0 day en IE

Como sucede en todas las historias que tienen que ver con exploits de 0 days en la red la desinformación suele aparecer al principio de todo. Con el famoso exploit de IE que ha estado azotando medio mundo (parece que no eres nadie si no has sido atacado por él) se ha especulado mucho sobre el ataque que se estaba realizando.

La vulnerabilidad fue reconocida por Spectra que sacó una advisory en que el que reconocía la peligrosidad pero en el que también decía que el Modo Protegido de IE7 e IE8 ayudaba a mitigar la vulnerabilidad.

Y algo debían saber, resulta que cuando se ha hecho público el exploit, este no funcionaba en equipos que tuvieran el IE con el DEP Activado o el Modo Protegido. Es decir, que si tenías el IE 8 en cualquier sistema no eras vulnerable. Esta es la tabla de riesgos que ha publicado el equipo de Spectra que ha estado investigando.


Figura 1: Tabla de riesgos ante el exploit usado

Internet Explorer 8, Windows 7 y Windows Vista salían bien parados. Al final, cuando muchos han recomendado otras acciones mucho más drásticas para solucionar el equipo, yo voy a recomendar que el que lo haga que se lo piense, que al final parece que, aunque no invulnerables las medidas de protección, sí que resultan muy útiles tenerlas activas. Así que la tablita esa que yo os publiqué con tanto “malor” en la que miraba las opciones de DEP, ASLR, Arquitectura Mono/Multi, Virtual Store y niveles MIC no va a ser una tontería.


Figura 2: Hall of Fame Maligno

Tal vez, los que inventaron el concepto de Defensa en Profundidad sabían un poco de esto de seguridad pero claro, siempre puedes fiarte de los informes de seguridad de la OCU.

Saludos Malignos!

33 comentarios:

  1. Chema mira esta noticia: http://meneame.net/story/alemania-recomienda-oficialmente-dejar-usar-explorer

    ResponderEliminar
  2. En la lista de full-disclosure Marc Maiffret estaba comentando más o menos lo mismo que tú.

    Con todos estos temitas del superespectáculo del 0day se les infla la boca a los publicadores y eso tiene consecuencias nefastas.

    ResponderEliminar
  3. Amigo de las sepias II el regreso17/1/10 11:37 a. m.

    Maligno enciendete un poco mas mira estos comentarios y como no la "noticia" http://www.fayerwayer.com/2010/01/gobierno-aleman-recomienda-dejar-de-usar-internet-explorer/

    Yijaaaaa

    ResponderEliminar
  4. @Anónimo y Amgio de las Sepias II, eso es cagarla a lo campeón. ¿Qué harán cuando se explote masivamente uno de los n fallos de seguridad que tiene firefox o un nuevo 0-day en él? ¿Recomendar que no lo usen? Estos se piensan que para las empresas cambiar de una aplicación a otro es darle a un botón...

    @PatoWC, es que clama al cielo.


    Saludos Malignos!

    ResponderEliminar
  5. http://www.fayerwayer.com/2010/01/gobierno-aleman-recomienda-dejar-de-usar-internet-explorer/

    Germany VS I.Explorer!!!!!!!!!

    ResponderEliminar
  6. y ahora que me empezaba a gustar eso de los grupos de pestañas en colores del IE8...p*tos alemanes!
    :P

    saludos

    ResponderEliminar
  7. Nada como un buen:


    ZAS, en toda la boca...

    para empezar bien el día XDDDDDDDDDDDDDDDDDDDDDD

    ResponderEliminar
  8. Buen error he encontrado aquí, por si acaso alguien se encarga de usar una navegador seguro las páginas te obligan a usar alguno más antiguo...xD

    https://ssweb.mpt.es/metropolis/frontend/error.php?error_num=200

    Saludos!

    ResponderEliminar
  9. ¿Existe o no existe el 0 day?...

    Chema córtate el pelo que te tapa ya los ojos y no te deja ver la realidad. No me seas talibán que últimamente solo leo flames tuyos.

    Tienes los humos tan altos que hasta publica un post para enseñar al resto lo importante que eres en google... increíble.

    Aix, HpUX, XBSD, Windows, Solaris, Windows, etc... tienen cosas buenas y malas, y cuando algo es malo es malo, lo que no se puede hacer es que cuando sea algo malo en Windows intentes disminuir la importancia del asunto y cuando le toca a otro SO intentes aumentar su importancia. ¿Sera el precio del MVP?.

    Una vez dijo un persona, que la diferencia entre un periodista y un político es que el periodista dice lo que ve, y el político dice lo que quiere ver.

    Con todo el respeto del mundo.

    ResponderEliminar
  10. @Anónimo peluquero, a día de hoy ya no podemos hablar de exploit de 0day, pero si hablamos del que existió, como ya se sabe, afectó a XP con IE 6 e IE7.

    La vulnerabilidad, que es distinto, existe hasta que Spectra saque un parche.

    Si has pensado que el post de Google era para ver "lo importante que soy" es que no has entendido mi parco sentido del humor y no te has leído el link (linkado ene veces en ese post) del chapapote.

    No es el precio por ser MVP, quizá ¿tal vez al revés? ¿Has leído todas las tonterías que se han dicho de gente desinformada a este respecto durante los últimos días? ¿Gente que ni tan siquera tiene puta idea de de seguridad?

    ¿Soy el único al que le indigna cuando un tonto le explica su trabajo?

    Saludos desde mi eterna adolescencia.

    ResponderEliminar
  11. ¿No te gusta que la gente exagere los problemas de Spectra? Jódete, va en el sueldo.

    Lo que no se puede que se hagan gráficas llenándose la boca con el chorrecientos porcentaje de uso de IE, XP, Vista y 7 y que MS arrasa, que somos los mejores y que después salga una cagada y pase desapercibida.

    Con una cuota de mercado tan alta ¿qué esperas?

    Y no metas ASR, MIC.. y Firefox en esto.

    Puta manía de no asumir y minimizar las cagagas. La caga en este caso es de MS ¡¡¡Que lo arreglen y santas pascuas!!!

    Lo que debería ser es dejarse de chorradas y sacar un parche y dejarse de decir: no es tan importante, no influye si venus se alinea con marte... excusas coño, saca un parche y arréglalo y tápate.

    Y para que a todo el mundo le quede claro, la defensa en profundidad no es un concepto que haya inventado Microsoft, porque vaya, con tu comentario no me queda nada claro.

    ResponderEliminar
  12. Usuario Principiante17/1/10 5:02 p. m.

    DEP está activado por defecto en Windows XP ?

    Cómo puedo saber si está activado en mi equipo ?

    Cómo lo activo si no está activado ?

    Qué conflictos puede ocasionar a aplicaciones de terceros ?

    ResponderEliminar
  13. Una pregunta sincera desde mi más profunda ignorancia: si un fallo similar existiese en Chrome, ¿serviría de algo su modelo de sandboxing?

    ResponderEliminar
  14. "¿Soy el único al que le indigna cuando un tonto le explica su trabajo?"

    Si quieres ahora te explico la educación mínima hacia tus lectores.

    Y lo vuelvo a repetir, por favor expón las cosas como son, no como quieres verlas. Conforme pasan más y más entradas en tu blog, cada vez más parece que las escriba otra persona, el mismo MS diría yo.

    Tú vales mucho más que todo esto, no caigas en ese error, por que cada vez dan menos ganas de leer las entradas, ya sabes lo que vas a leer antes de leerlo.

    Un besito profe Chemita :D.

    ResponderEliminar
  15. No sé de donde has sacado la rara idea de que Spectra no está trabajando en un parche. Todas las vulnerabilidades que suponen un riesgo para sus clientes se parchean de la mejor manera posible y lo antes posible. No han minimizado el problema, y han clarificado al realidade del exploit. Aunque por tu comentario parece que tú prefieres que se exagere.

    Hay que meter a ASLR, y al MIC y al UIPI y a todos los demás, proque demuestran que funcionan.

    Respecto al tema de Defensa en profundidad, lo publicó la NSA basada en el trabajo de unos investigadores. Uno de ellos Michael Howar, responsable de seguridad en vista y Windows 7 y creador del SDL de Spectra.

    http://www.nsa.gov/ia/_files/support/defenseindepth.pdf
    https://buildsecurityin.us-cert.gov/daisy/bsi/articles/knowledge/principles/347-BSI.html

    Saludos!

    @Usuario principiante, bajate Process Explorer y mira si tienen DEP activo tus procesos. En XP, a partir del SP2 tienes que activarlo en el panel de control.

    @Andrés

    el sandboxing es sólo de pestaña a pesataña. Si se rompe la seguridad de chorme sólo debería acceder a lo que el MIC le permita dentro del sistema. Eso sí, no aplica Virtual Store, así que ve el registry y el HD tal como es.


    Andrés dijo...
    Una pregunta sincera desde mi más profunda ignorancia: si un fallo similar existiese en Chrome, ¿serviría de algo su modelo de sandboxing?

    17/1/10 5:10 PM

    @ Anónimo educad@,

    me refiero a los tecnicoless que han publicado tanta tontería, no a los lectores. Aunque para algún troll también se lo aplicaría cohones.

    Úlitmamente estaba un poco más tranquilo, pero si miras el historial de mi blog sabrás pq me pusieron "maligno" ;) Además, cuando ponga Spectra en la tag,... ya sabes de que va el rollo.

    Un besito a tí tb ;)

    ResponderEliminar
  16. @chemita: lo de la "defensa en profundidad" es algo tan viejo y tan genérico que no creo que sea tan fácil de atribuir a nadie (menos a NSA o a Howard, como dices!!!). Es un concepto del mundo militar, que tiene que tener más años que el sol ;-) (no, no lo inventó M$ xDDD).

    Lo del 0day, bueno, no hay que avergonzarse de nada, ocurre en las mejores familias (en todas, de hecho jeje). Por supuesto, también en M$ (como ha sido este último y sonado caso }:-)).

    :**
    -r

    ResponderEliminar
  17. @RoMaNSoFt, sí, ha sido un 0day, pero las noticias eran que te iban a pwnear tu Win7 con IE8 así por la cara con un exploit que había rulando por ahí y la verdad ha sido otra.

    Lo de Defensa en Profundidad pueder ser tan antiguo como lo del Mínimo privilegio posible o el mínimo punto de exposición, pero tiene que venir alguien a poner orden y sentido en su aplicación.

    Cuando toca hacer un paper en el que se referencia ese término en informática, toca referenciar writting secure code....

    Saludos!

    ResponderEliminar
  18. Chema: Según secunia, el problema es "Extremely critical" en IE8 también..

    http://secunia.com/advisories/38209/

    ¿O es que este es otro que también sigue unpatched?

    ResponderEliminar
  19. @Tayoken, totalmente de acuerdo. El advisory de Spectra no quitaba ni un ápice de gravedad al asunto. Pero en el caso del exploit que se ha utilizado no afectaba ni a Vista, ni a W7 ni a IE8 pq las medidas de protección dificultan precisamente eso, la creación de exploits. ¿que no se pueda hacer? Claro que se podrá hacer, pero tal vez sea un poco más complejo o se necesite de un atacante más entrenado. Ahí queda el paper de Sotirov saltandose ASLR, DEP y ene protecciones más...

    Saludos!

    ResponderEliminar
  20. Yo estoy de acuerdo con @RoMaNSoFt, lo de los Zero Day para hasta en las mejores familias, no pasa nada, lo importante es que saquen el parche lo antes posible, pero mientras tanto (y esta es mi opinión) la situación está así:

    * XP + IE6 = Explotable con exploit público
    * XP + IE7 = Explotable pero habría que hacer algunas modificaciones en el Exploit
    * XP + IE8 = La vulnerabilidad zero day existe y ES explotable, pero el exploit se complica ya que hay que saltarse DEP, y no SE CONOCE hasta ahora ningún exploit "on the wild" que lo explote, aunque podría existir igual que existía el otro antes de ser usado contra Google.
    * Vista/7 + IE7/8 = Más o menos lo mismo que antes, la vulnerabilidad existe y es crítica, pero no tenemos conocimiento de que exista ningún exploit que funcione.

    En este contexto, yo SI recomendaría que se dejara de usar Internet Explorer hasta que salga el parche, sea cual sea tu caso, o bien que se desactive Javascript y se asuma que va a haber webs que no van a funcionar, pero vamos, no es un consejo anti-MS, diría lo mismo si el fallo fuera en Firefox, Adobe o cualquier otro software, y evidentemente soy consciente que para una gran empresa decir "vamos a cambiar todos los IE por FF o Chrome" es una putada grandísima, pero ahí ya entra la decisión de las empresas de decidir que les merece más la pena, si arriesgarse pensando que no van a ser víctima de un exploit para Windows 7 + IE8 del que no se tiene conocimiento o asumir el coste de cambiar de navegador momentaneamente, bloquear el Javascript, o intentar detectar por medio de IDS si alguna máquina es explotada, aunque he estado pensando mirando el exploit de metasploit y crear una firma Snort no me parece algo nada fácil para esta vuln.

    Saludos!

    ResponderEliminar
  21. Chema no te indignes, el que se quiera informar que se informe y saque sus opiniones. Siempre habrá gente que critique por ser el producto de MS(hay cosas buenas y malas como en todas las casas) y los que piensen que ser mvp ya te has vendido, peor para ellos, estarán mas desinformados. En mi opinión lo mejor es informarse y sacar tu conclusión(el pensar nos hace libres) independientemente que lo diga ms, un mvp, un guru,...
    Saludos,
    Patxi

    ResponderEliminar
  22. Pues no sé como puede ser que sea tan malo el firefox y todavía no haya estado emtido en estos asuntos que son habituales para el explorer.

    Ni como puede ser que sea tan malo el gmail pero me acierta los correos falsos y spam al 100% cuando el hotmail no hace más que ponerme la etiqueta de "posible spam" y se queda tan campante el jodio, ahi en l bandeja de entrada. Menudas putas mierdas que hace microsoft.

    ResponderEliminar
  23. @anónimo, sí que ha estado metido en algunas de estas...

    http://www.securitybydefault.com/2009/12/firefox-y-el-malware.html

    ResponderEliminar
  24. Ante todo, gracias por la información de la entrada. :)

    Aún me queda una duda (en realidad son varias), porque como de costumbre con tanta mierda (hablando pronto y mal) que se ha vertido sobre el asunto, no termino de tener claro cómo ha sido el tema de los ataques a empresas.
    Así que a ver si alguien por aquí lo puede resolver... Comentan en Genbeta que el exploit ha aprovechado la última vulnerabilidad en las aplicaciones de Adobe, mediante un PDF adjunto en correo electrónico. Entonces, ¿ha sido un ataque directo difícil de evitar por aprovechar fallos de seguridad (tanto el de IE como el de Adobe), o ha podido ser por una mezcla de bugs, mala configuración de seguridad y (especialmente) usuarios que abren archivos maliciosos?
    ¿Haría falta necesariamente usar IE con el fallo de seguridad, o podrían reproducirse los ataques usando otros navegadores en un sistema con las políticas de seguridad al mínimo (y el Adobe sin parchear)? ¿Es necesario abrir el PDF malicioso (da la impresión de ser así) o basta con, ej., descargarlo al ordenador o tenerlo en la bandeja de entrada aunque no se ejecute?

    ResponderEliminar
  25. http://www.securitybydefault.com/2009/12/firefox-y-el-malware.html

    ???

    Ohh! existe malware para firefox!! Descubrimiento! qué será lo próximo?, que algunas personas son malas y hacen daño? eso es todo lo que tienes que decir para defender al explorer del hecho de que ha sido utilizado, sin extensiones ni nada, tal y como viene de fábrica, para putear a un montón de multinacionales? Eso ha sido una cagada como un templo, y no es la primera ni será la última.

    Y encima un estudio de symantec, esa empresa tan fiable que una vez sacó un estudio diciendo que windows era más seguro que linux porque linux había sido atacado N veces y windows N/100 veces, cuando en realidad lo que pasaba es que el windows ni se enteraba de que le habían atacado y ademas recibia menos intentos de ataque porque estaba instalado en menos servidores. Cosa que el estudio de esta empresa que se dedica a vender programas para windows parece que ignoró.

    Utilizar el número de vulnerabilidades de un programa como vara de medir la seguridad, cuando comparas un programa que usa el sistema de seguridad mediante oscuridad contra otro que usa el sistema de revelación completa. es simple y llanamente manipular.

    ResponderEliminar
  26. @Anonimo, tal y como viene de fábrica no se ha utilizado nada efectivo contra el IE8. ¿Te has leido el post?

    ResponderEliminar
  27. @anónimo, y no te olvides de ver los resultados del concurso de Browserschools con los navegadores tal y como vienen de fábrica.

    saludos!

    ResponderEliminar
  28. Si total... no es tan peligroso.

    ¿Te leiste lo que ponen tus colegas de una al día?

    Estos de google son tan burros como los de microsoft. Y el resto de empresas que nombran también. Si es que no tienen dinero para seguridad.

    ResponderEliminar
  29. "Microsoft's relationship with IE6 and XP is complicated. On the one hand, the company refuses to drop support for IE6 and won't force users to upgrade away from it, and it still makes sure to offer businesses add-ons like Windows XP Mode as well as MED-V. On the other hand, the software giant runs mini campaigns and pushes for users to upgrade away from the ancient applications, usually citing security."
    from
    http://arstechnica.com/microsoft/news/2010/01/microsoft-wants-you-to-ditch-windows-xp-and-ie6-for-security.ars

    ResponderEliminar
  30. We Released a DEP-Bypass Exploit for the Internet Explorer 0Day. So, enabling DEP will not protect you. Disabling JavaScript will. VUPEN.COM

    http://twitter.com/VUPEN/status/7942550681

    En la web:
    While the public exploit only targets Internet Explorer 6 without DEP (Data Execution Prevention), VUPEN Security has confirmed code execution with Internet Explorer 8 and DEP enabled.

    ResponderEliminar
  31. "While the public exploit only targets Internet Explorer 6 without DEP (Data Execution Prevention), VUPEN Security has confirmed code execution with Internet Explorer 8 and DEP enabled."

    Ahora si que la hemos liao.
    ¿Como se desinstala IE en un Win?

    ResponderEliminar
  32. @Anónimo, no tanto macho. Ya que se tiene información del problema solo hay que usar las zonas de IE para restringir Javascript a lo sitios de confianza. ¿Ves que fácil? ¿Cómo se hará cuando pase algo así en FF?

    Saludos!

    ResponderEliminar
  33. UsuarioPrincipiante19/1/10 5:24 p. m.

    en FF existe un complemento muy popular llamado NoScript que bloquea de forma muy cómoda e interactiva lo que uno quiera.

    He tratado de hacer lo mismo con las Zonas de IE7 pero no siempre me funciona igual que con FF + NoScript.

    Existe alguna forma de hacerlo a la NoScript en IE8??

    ResponderEliminar