En esta ocasión nos referimos a una debilidad, que permite a un
atacante remoto eludir las restricciones de los productos antivirus y de otras
tecnologías de seguridad, cuando inspeccionan el contenido de una imagen en una
página HTML, explica el sitio online vsantivirus.com.
Sin embargo, solo puede ser explotada en Mozilla, Mozilla Firefox, Safari,
Opera, y posiblemente otros navegadores basados en Netscape. Internet Explorer
no muestra este tipo de imágenes, por lo que es inmune a esta forma de exploit.
La debilidad puede ser explotada si un atacante codifica en base64 una imagen
maliciosa y la inserta dentro del cuerpo de un documento HTML. Una explotación
exitosa, puede evitar el examen del contenido de la imagen hasta que la misma es
mostrada en el navegador.
Inclusive podría ejecutarse un código malicioso si la imagen intenta explotar la
vulnerabilidad descripta y corregida en el boletín MS04-028 (Ejecución de código
en proceso JPEG, http://www.vsantivirus.com/vulms04-028.htm).
Para la codificación, se utiliza el siguiente esquema tal como se especifica en
el RFC 2397 (The "data" URL scheme):
data:[<tipo de contenido>][;base64],<datos>
Por ejemplo:
data:image/gif;base64,/9j/4AAQSkZJRgAB[etc...]
Aún así, antivirus como NOD32, detendrían la ejecución del código malicioso una
vez que ha sido decodificado. De todos modos esta debilidad puede ser
considerada como un riesgo importante, por la posibilidad de ser combinada con
conocidas vulnerabilidades a los efectos de comprometer la seguridad del sistema
afectado.
Como Microsoft Internet Explorer no soporta el esquema URL especificado en el
RFC 2397, este exploit no puede ser utilizado en equipos que lo utilicen como
navegador.
Una prueba de concepto ha sido colocada en nuestro sitio. Si al pinchar sobre el
enlace, se muestra una pequeña imagen (en este caso inofensiva, de solo 3x3
píxeles), puede considerar que su equipo está en riesgo ante futuros exploits..
Nota: En realidad el termino "vulnerabilidad" en este caso, no es exactamente un
fallo de los navegadores mencionados, ya que se trata del uso de una
característica documentada, aunque prácticamente no usada.
Los vendedores de antivirus, deberán actualizar sus productos para examinar o
por lo menos advertir de la peligrosidad de esta técnica si es empleada
maliciosamente.
Prueba de concepto:
http://www.vsantivirus.com/prueba-av.htm
Créditos:
Darren Bounds (dbounds at intrusense.com)
|