 Ooops, uma em cima da outra !!! |
 |
| E a novela continua: BURLANDO EXTENSÕES DE ARQUIVOS II | |||||||||||||||||||||
| Publicação: Oy Online Solutions Assunto: Burlando extensões de arquivo no diálogo de download do IE. Data: Dez 14 2001 Autor: Especialistas em Segurança da Oy Online Solutions Site: http://www.solutions.fi/ |
|||||||||||||||||||||
Software: Internet Explorer 5.5 e 6. Ambiente Testado: Windows (todos). Classificação: Risco Alto. Impacto: Executar código (disparado quando o usuário clica no botão "abrir" ou "executar" no diálogo de download). Patch: Nenhum. Notificação: Microsoft contactada em 19 Nov 2001. Solução: Nunca abrir ou executar arquivos online ou _ _ trocar de browser. |
|||||||||||||||||||||
| o' \,=./ `o (o o) -----ooO--(_)--Ooo----- |
|||||||||||||||||||||
Devido à falha no modo como o Microsoft Internet Explorer lida com certas strings de resposta HTTP, um site da web pode camuflar o nome de um arquivo que esteja sendo requisitado e disfarçá-lo num arquivo aparentemente inofensivo. Ao contrário do que foi afirmado no relatório anterior, uma variação deste exploit pode fazer com que o browser faça o download e execute automaticamente o arquivo de programa sem qualquer interferência ou decisão do usuário. Isto pode levar ao comprometimento do sistema ao se visitar um site malicioso ou ao abrir uma mensagem de e-mail em HTML que direcione o usuário para um destes sites. NÃO é necessário abrir um anexo de e-mail (attachment) ou aceitar o download de um arquivo. Em algumas versões do IE, o servidor web de origem, do qual o arquivo esteja sendo baixado, também pode ser escondido utilizando-se uma variação do exploit. Neste caso, será mostrada apenas uma string vazia no lugar do nome do host no diálogo de download. O Internet Explorer versões 6, 5.5 e 5.0 foram testados e mostraram-se vulneráveis. Nos nossos teste, a única versão que não fez o download e executou um .exe automaticamente é a 5.5 com o Service Pack 2. Não podemos saber se esta versão é vulnerável a alguma outra variação do exploit (tipos MIME diferentes ou outro conteúdo no cabeçalho HTTP). Entretanto, é vulnerável ao ataque do spoofing de nome de arquivo "simples". |
|||||||||||||||||||||
VERSÕES VULNERÁVEIS
|
|||||||||||||||||||||
DETALHES O problema está no modo como o Internet Explorer lida com os cabeçalhos HTTP Content-type e Content-disposition de uma resposta de um servidor web. Com certas combinações de strings de resposta especialmente construídas, o browser pode ser levado a iniciar um download de arquivo sem pedir permissão ao usuário e, logo a seguir, a abrí-lo ou, neste caso, a executá-lo. Para explorar a vulnerabilidade, geralmente não é necessário ter acesso administrativo ao servidor web. Aliás, até um servidor web real é dispensável. Requerido é apenas que o usuário malicioso tenha controle sobre os cabeçalhos HTTP acima mencionados. Geralmente isto pode ser feito, por exemplo, utilizando-se uma conta normal em um servidor web UNIX com um pequeno programa CGI (perl, linguagem C, shell script, JSP, PHP ou coisa do gênero). Também seria uma tarefa banal para o usuário ou para um vírus instalar um "mini servidor web", por exemplo numa estação windows, para servir arquivos de programa maliciosos - neste caso o atacante apenas precisaria redirecionar a vítima para este mini servidor web através de um link ou uma mensagem de e-mail em HTML. |
|||||||||||||||||||||
PROTEÇÃO Se, por alguma razão, o patch não puder ser aplicado, desabilitar o download de arquivos através de Ferramentas -> Opções de Internet -> Segurança -> Nível de Usuário -> Downloads/Download de Arquivos parece impedir o exploit. Até o presente momento não existe outro tipo de proteção, a não ser trocar de navegador, como o Opera ou Netscape, os quais parecem não sofrer deste problema. |
|||||||||||||||||||||
| STATUS DO FORNECEDOR A Microsoft foi inicialmente contactada em 19 de Novembro de 2001 com a informação à respeito do problema de "camuflagem (spoofing) de extensão de arquivo". Os diálogos de Aviso de Segurança do IE5 puderam ser evitados com este exploit, mas a variação "automaticamente iniciar um .exe" desta vulnerabilidade ainda não era conhecida na época. A Microsoft não considerou o problema da camuflagem de extensão de arquivo como sendo uma vulnerabilidade da segurança. A empresa foi informada sobre a nova variação em 27 de Novembro e está trabalhando num patch que corrija a falha. O patch já está pronto e encontra-se disponível para download no site da Microsoft. |
|||||||||||||||||||||
O Exploit |
|||||||||||||||||||||
| O truque está em simplesmente usar um nome
de arquivo contendo um byte null. Um servidor web pode indicar um
nome de arquivo como "README.TXT%00PROG.EXE" através da Content-disposition
do cabeçalho HTTP. Se este tipo de nome de arquivo for indicado
para um anexo (attachment), o IE mostrará apenas "README.TXT"
no diálogo de download (a não ser que o IE esteja
atualizado com o patch). Aparentemente o "%00" é descodificado
e algumas das funções de manipulação
de string consideram que as strings de nome de arquivo terminam
aí. Entretanto, quando o arquivo é aberto (se o usuário
escolher "Abrir"), a string completa é utilizada
e o programa começa a ser executado. Se a palavra chave "inline" for utilizada com o cabeçalho Content-disposition header ao invés de "attachment" e o tipo de MIME for escolhido corretamente, então o browser faz o download e executa o programa sem qualquer diálogo ou aviso. O tipo MIME do arquivo pode ser definido através do cabeçalho HTTP Content-type. O tipo MIME que faz com que o arquivo possa ser executado automaticamente parece ser diferente conforme a versão do IE. Com o IE6, por exemplo, "text/css" pode ser usado para produzir o efeito. No IE5, por exemplo, "audio/midi" é que funciona. Tanto a "camuflagem (spoofing) do nome do arquivo" quanto a "execução automática de programas" são efeitos da mesma vulnerabilidade do byte null. O tipo MIME determina se o programa é executado automaticamente ou se o diálogo de download é ativado. Se você quiser saber se o seu navegador é vulnerável, basta clicar no link abaixo. Um IE vulnerável fará o download de um pequeno programa e o executará. O programa rodará numa janela do DOS e imprimirá uma mensagem. A página de teste contém "text/css" ou "audio/midi" dependendo da versão do seu navegador. [Clique aqui para um teste de vulnerabilidade] Se o programa for executado sem perguntas ou diálogos, você deve fazer um patch no seu navegador. O patch está disponível desde 13 de Dezembro de 2001 no site da Microsoft: http://www.microsoft.com/technet/security/bulletin/MS01-058.asp Um navegador não vulnerável apenas mostra um diálogo de download com um nome de arquivo terminado em ".EXE". Parece que o comportamento depende de alguma forma da versão e da configuração; mesmo um IE vulnerável com determinados plugins instalados não executa necessariamente o programa, de modo que não há garantia total de que algumas outras variações do exploit não possam comprometer seu sistema. |
|||||||||||||||||||||
| DECLARAÇÃO | |||||||||||||||||||||
| O site NumaBoa apenas traduziu e divulgou esta informação
pública, portanto, não é responsável
pelo mau uso das informações contidas neste alerta.
As opiniões expressas são da Oy Online Solutions.
Em hipótese alguma o autor do aviso ou o responsável
pelo site NumaBoa poderão ser responsabilizados por qualquer
dano surgido ou provocado que tenha conexão com o uso ou
com a divulgação deste alerta. Qualquer uso desta
informação será por conta e risco do usuário. |
|||||||||||||||||||||
| Link Original | |||||||||||||||||||||
 http://www.solutions.fi/index.cgi/news_2002_01_14?lang=fi |
|||||||||||||||||||||
Indique esta página