Un experto en seguridad muestra cómo algunos pequeños defectos podrían permitir que un hacker tuviese acceso a archivos personales.
Internet Explorer es el navegador más popular del mundo, aunque eso no signifique que sea impenetrable—varios expertos en seguridad acaban de llamar la atención recientemente sobre la forma en que los hackers podrían aprovecharse del navegador para espiar a los usuarios. El mes pasado, una vulnerabilidad en Internet Explorer estuvo implicada en el ataque de los hackers chinos a Google. Microsoft puso rápidamente un parche al defecto con una actualización de seguridad especial, pero no mucho más tarde, Jorge Luis Álvarez Medina, asesor de seguridad para CORE Security Technologies, con sede en Boston, reveló un método por el que cualquier atacante podría leer cualquier archivo en el ordenador del usuario a través de Internet Explorer.
Durante una charla en la Black Hat DC la semana pasada, una conferencia sobre seguridad informática celebrada en Washington, DC, Medina detalló la conversión de una serie de defectos aparentemente menores en un ataque mucho más serio. Normalmente, los archivos guardados en el ordenador de los usuarios son tratados de forma distinta que aquellos que se pretende sean accesibles a través de internet. El ataque de Medina hace que la línea entre los dos tipos de archivos sea borrosa, permitiendo al atacante tener acceso a los archivos personales a través de internet. Durante su charla, Medina demostró un tipo de código que le permitió subir archivos desde el ordenador de un usuario.
Para que el ataque funcione, el usuario de Internet Explorer tiene que hacer clic en una página web maliciosa. Una vez que el usuario navega hasta allí, el atacante utiliza una variedad de agujeros y características en Internet Explorer para reunir información acerca del ordenador del usuario. Al mismo tiempo, el atacante escribe código malicioso en el navegador (las páginas web tienen permiso para escribir código en el navegador, por ejemplo bajo la forma de los archivos de seguimiento conocidos como “cookies”). El atacante usa lo que ha aprendido para dirigir al navegador y hacer que abra ese código malicioso como si proviniese del ordenador del usuario. Si logra convencer al navegador para que ejecute el código, entonces el atacante habrá logrado cruzar la línea divisoria entre Internet y la máquina local del usuario.
Medina lleva algún tiempo investigando este tipo de ataque—CORE Security publicó un aviso sobre la primera versión de este ataque en 2008. Sin embargo, afirma, Microsoft sólo ha respondido mediante la publicación de parches enfocados en prevenir que el navegador llegue a ejecutar el código malicioso—los arreglos no evitan que el atacante obtenga datos sobre el ordenador del usuario, algo que, potencialmente, podría conducir a otros tipos de ataques. Medina cree que el ataque podría detenerse de forma más efectiva mediante el arreglo de los defectos a lo largo de todos los puntos de la cadena. “No tiene sentido pensar en este vector si ninguno de los puntos débiles de la cadena son posibles,” afirma Medina.
Cuando habló con Microsoft acerca del ataque, afirma Medina, la compañía le dijo que no podía crear parches para algunos de los defectos. En algunos casos, esto se debía a que los defectos estaban muy relacionados con ciertas características del navegador. En otros casos, a la compañía le preocupaba que cualquier arreglo acabase generando más agujeros de seguridad.
Medina señala que su ataque funciona en la actualidad con todas las versiones de Internet Explorer.
Sin embargo, “los clientes que tengan Internet Explorer 7 o Internet Explorer 8 en su configuración por defecto de Windows Vista u otros sistemas operativos posteriores no son vulnerables a este ataque, puesto que se benefician del Modo Protegido de Internet Explorer, que otorga protección ante este problema,” afirmó en un comunicado de prensa Jerry Bryant, director senior de comunicaciones de seguridad en Microsoft. Añadió que Microsoft ha proporcionado una serie de instrucciones que los usuarios de XP pueden implementar para proteger sus ordenadores. Señala, no obstante, que Microsoft no ha tenido noticia de que el ataque de Medina se haya producido entre el público general.
El investigador de seguridad independiente Dino Dai Zovi señala que muchos usuarios de Internet Explorer puede que no se den cuenta de que están navegando por internet sin haber conectado el Modo Protegido. Dai Zovi explica que los usuarios a menudo desconectan el control de cuenta de usuario de Vista, una característica de seguridad cuyo objetivo es que los usuarios sean conscientes de los privilegios que ejercen las aplicaciones, puesto que les molestan las continuas pantallas con preguntas. Lo que normalmente no saben, sin embargo, es que al desconectar esta característica también se desconecta el Modo Protegido de Internet Explorer, puesto que se basa en el mismo tipo de mecanismo. “La mayoría de los usuarios probablemente quieran la protección de seguridad añadida que proporciona el Modo Protegido de Internet Explorer,” afirma Dai Zovi.
Medina es consciente de que su ataque no funciona en la actualidad con el Modo Protegido, aunque insiste en que este modo sólo protege contra un único aspecto de la amenaza. Recientemente ha estado trabajando para ver si puede saltarse el Modo Protegido. “Si yo no lo logro, alguna otra persona lo logrará.”