Nuevas vulnerabilidades en Internet Explorer

icrosoft ha insertado un sistema de filtración dentro del Internet Explorer. Este sistema verifica que sólo los datos seguros, válidos y apropiados (en sintaxis) sean pasados a aplicaciones externas.

El sistema de filtrado salta algunos chequeos importantes tales como el protocolo "MAILTO:". Sin esta filtración, el Internet Explorer permite que datos inválidos sean enviados al cliente de correo por defecto.

Ejemplo:

mailto:[una dirección extremadamente larga]

Esto provoca el mensaje de error "No se pudo llevar a cabo la operación porque el cliente de correo predeterminado no está correctamente instalado".

Este sistema también filtra enlaces del Outlook, tales como los protocolos NNTP y SNTP. No obstante el agujero de seguridad aparece cuando un atacante utiliza el protocolo SNEWS, que no tiene ningún filtrado.

nntp://aaaaaa.com/aaaaa

Filtrado activo! - Resultado: mensaje de error.

sntp://aaaaaaaaaaaaaaa

Filtrado activo! - Resultado: mensaje de error.

snews://aaaaaaaaaaaaa

Filtrado *INACTIVO!* - Resultado: activación de Outlook e inyección de server en Outlook [Nota 1].

Este agujero de seguridad le permite a cualquier sitio o página, abrir el Outlook Express e inyectar cualquier cosa como si fuese un servidor de noticias válido. Esto puede ser algo preocupante si alguien hace un bucle repetitivo que inyecte una cantidad enorme de servidores falsos de SNEWS. Ésta dirección seguirá escrita en la base de datos de los servidores de noticias de Outlook Express y puede causar cuelgues o la pérdida de recursos del sistema.

La manera más simple de explotar este fallo es por XSS (Cross Site Scripting).

Esto también crea un desbordamiento de búfer dentro de Outlook Express en el offset 0x00dc735, que cierra el programa, hace más lento al sistema, y puede incluso colgarlo por falta de memoria.

Este desbordamiento de búfer en Outlook Express es ALTAMENTE PELIGROSO, y puede causar ejecuciones remotas de código arbitrario.

Solución temporal para este problema:

La primera vez que Outlook Express es ejecutado por una URL del tipo "snews://aaaaaaaaaaaa", éste pregunta al usuario si él quiere que Outlook sea el cliente de noticias predeterminado. Eligiendo NO puede solucionar el problema por ahora [Nota 2].

El Internet Explorer abre automáticamente el dialogo de descarga cuando el mismo archivo con una extensión "css" existe en esa carpeta.

Por ejemplo:

http://<host>/styles

Esto provocará la apertura del diálogo de descarga del Internet Explorer, que intenta descargar el archivo "styles".

Esto sucederá solamente si un archivo nombrado "styles.css" está situado en esa carpeta.

Un exploit puede ejecutar FrontPage, y comenzar a enviar los ".css" a él. Para cada descarga de archivos abrirá dos ventanas de diálogo, la primera es la ventana de descarga, y la segunda, el mensaje de error "No se puede hallar ...", que revela/enumera la ruta de todo el archivo temporal de Internet.

Esto sobrecargará rápidamente la memoria del FrontPage y abrirá luego los archivos ".css" en el bloc de notas. Y después de que sobrecargue la memoria del bloc de notas, intentará abrir los archivos en el dialogo "Abrir con...", que es ejecutado por "rundll32.exe". A éste punto, "rundll32.exe" alcanzará el desbordamiento de memoria y mostrará un mensaje por cada intento de descarga, lo que podría llevar al colapso del sistema.

Nota:

Esto último se debe a que al abrirse el Outlook da un mensaje de advertencia diciendo que no se está suscrito a ningún grupo de noticias, y nos pregunta si queremos ver una lista, la cuál, si aceptamos, intentará buscar en el servidor inyectado.

También he descubierto que si en la URL se coloca una barra al final, no solo se inyecta un nuevo servidor sino también un grupo de noticias.

snews://servidor/grupo_de_noticias Nota 2 de Xyborg:

Este mensaje es mostrado cuando se intenta acceder por primera vez a un servidor de noticias, ya sea falso o verdadero.