[eside-ghost] [Everyone] Vulnerabilidad en Internet Explorer - Falsificación de URL {01}

Emet-Jon emetjon en euskalnet.net
Lun Dic 15 16:39:23 CET 2003



Aupa ahí!

	Al hilo de la charla de cibercontrol social de hoy, reenvio un mail que
relata una vulnerabilidad en internet. Se que no es echelon ni lo de los
chips del supermecardo, pero posiblemente nos pueda afectar mas
directamente. Ademas pensando un poco, esta vulnerabilidad se puede
trasladar a otros navegadores, no solo al que relata el mail. (Una vez
oí decir a alguien que el 90% de la información publicada en internet no
es verdad...)

	Felicidades de nuevo a Pablo por su charla y un saludo para tod en s,
	    Emet_"


-----Mensaje original-----
De: Jose Maria Cacho Pascual [mailto:jcacho en teamarteche.com]
Enviado el: lunes, 15 de diciembre de 2003 15:20
Para: Sergio Pescador Dominguez
Asunto: [Everyone] Vulnerabilidad en Internet Explorer - Falsificación
de URL {01}



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Buenas tardes:

	Os anexo al final de este mensaje un extracto de la notificación de
un nuevo problema de seguridad que puede afectaros, tanto a nivel de
empresa como particular, especialmente a todos aquellos que usen la
banca electrónica.

	Resumen para los más ocupados...:
+++++++++
La recomendación pasa por que los usuarios no accedan a sitios webs
sensibles (como por ejemplo a la banca electrónica) pinchando en
enlaces. Sobre todo debemos desconfiar si éstos nos llegan a través
de e-mail o se encuentra en páginas de dudosa confianza.
+++++++++
Que tengáis un buen día.

  <><><><><><><><><><><><><><><><><><><><><><>
           Jose Maria Cacho Pascual
                 TEAM Arteche
                Derio Bidea 28
            48100 Mungia - Bizkaia
      Telf: 946018900 - Fax: 946018901
  jcacho en teamarteche.com / www.teamarteche.com
  <><><><><><><><><><><><><><><><><><><><><><>
Para verificar la firma obtenga la clave PGP en:
http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xC4A9EC04

++++++++++++++++++
  Falsificación de URL y ataque DoS recursivo en Internet Explorer
  ----------------------------------------------------------------

Dos nuevas vulnerabilidades en el navegador de Microsoft han saltado
a
la luz, la más crítica permite falsificar la dirección que aparece en
el navegador para hacer creer al usuario que se encuentra en otro
sitio web. La banca electrónica y servicios que solicitan datos
sensibles al usuario pueden ser principales objetivos de los
atacantes.

Falsificación de URL

Esta vulnerabilidad permite construir un enlace de forma que al
seleccionarlo el usuario visualice una URL concreta en la barra de
direcciones de Internet Explorer, cuando en realidad está visitando
un sitio web diferente.

Las posibilidades de aprovechar este problema son muy diversas, entre
las más críticas podemos encontrar la falsificación de sitios con
servicios críticos, como la banca electrónica.

Un atacante podría copiar en su propio servidor web las páginas de
un banco, incluido el formulario de usuario y contraseña para acceder
al servicio de banca electrónica. A continuación podría distribuir un
enlace que aproveche la vulnerabilidad, de forma que al seleccionarlo
el usuario visualiza la dirección del banco en Internet Explorer y
accede a sus páginas. Al tratarse de una copia, no encontrará nada
irregular a primera vista, el aspecto de la página web y sus
contenidos serán idénticos al original.

En realidad la dirección es falsa, y las páginas que visualiza el
usuario son una copia que se encuentra en el servidor del atacante,
de forma que si introduce sus datos para acceder a su cuenta estaría
proporcionando su nombre de usuario y contraseña a un tercero.

Una vez el atacante dispone de los datos puede dirigirse al sitio
web auténtico del banco y suplantar la identidad de la víctima para
acceder a su cuenta.

Para prevenir éste y otros ataques similares, como los basados en
Cross Site Scripting (XSS), la recomendación pasa por que los
usuarios
no accedan a sitios webs sensibles (como por ejemplo a la banca
electrónica) pinchando en enlaces. Sobre todo debemos desconfiar si
éstos nos llegan a través de e-mail o se encuentra en páginas de
dudosa confianza.


Demostración

En la siguiente dirección encontrará una página web con varios
enlaces
que aprovechan la vulnerabilidad. Pinche en cualquiera de ellos y
observará que aparece la URL de los sitios a los que aparentemente se
dirige en la barra de direcciones de Internet Explorer (Microsoft,
BBVA, The New York Times), sin embargo en realidad está accediendo a
páginas webs del servidor de Hispasec.

El último enlace, que aparentemente enlaza con la edición web de
The New York Times, nos llevará a una copia de su portada que hemos
editado y copiado en el servidor web de Hispasec. Evidentemente la
noticia de la llegada de extraterrestres es una broma que hemos
incrustado como prueba de concepto.

http://www.hispasec.com/directorio/laboratorio/Software/tests/falsific
aciondeurl.html


++++++++++++++++++


-----BEGIN PGP SIGNATURE-----
Version: PGP 7.0.4

iQA/AwUBP93DGiRaCIvEqewEEQJKRACgjcfCJOk1+zYD+sVwag18KrrNPj0An1Hu
7GC72oeTMmPvzKF/NW6KK4rm
=UtgO
-----END PGP SIGNATURE-----