Rompiendo la norma de publicar los parches el segundo martes de cada mes, Microsoft ofrece un parche acumulativo para Internet Explorer que corrige tres vulnerabilidades, dos de ellas ya conocidas y comentadas.

La desconocida está en el manejo de eventos de DHTML y permite descargar un archivo al disco duro, en la ubicación que el atacante decida, sin que el usuario reciba notificación alguna, simplemente pinchando un enlace especialmente construido al efecto. El archivo no se ejecuta. También puede aprovecharse a través de Outlook y Outlook Express, ya que usan IE para mostrar los correos en HTML. De hecho sería más fácil explotarlo así, pues el texto del e-mail podría tratar de convencer al usuario de que ejecutase el archivo.

Otro de los bugs que elimina es uno de éstos cinco. Cómo era necesario usar los cinco en conjunto, de momento, queda resuelta esa vulnerabilidad, pero hay que tener en cuenta que cualquiera de los otros cuatro que no se arreglan podría volver a ser peligroso en un futuro.

El tercero es el que más gracia me ha hecho. El fallo que corrige es el famoso URL spoofing que se usó en el intento de estafa a los usuarios del Banco Popular. Para corregirlo, se han cargado el estándar de construcción de URLs. Así, si escribimos en la barra de direcciones (o pinchamos en un enlace con) una URL completa (que son del tipo http(s)://usuario:contraseña@servidor), IE nos mostrará un mensaje como éste:

Error: Sintaxis no válida

Pues nada, si Microsoft lo dice, pues el estándar no es válido. Normalmente, la parte usuario:contraseña@ no se visualiza en los navegadores modernos y no se usa mucho en la navegación normal. Aun así, es necesaria en algunas descargas a través del protocolo HTTP (en este caso, el navegador debe completar lo necesario de forma automática, por lo que IE fallará a partir de ahora), para identificarse en algunas listas de correo vía web y es un pilar básico del diseño de bastantes intranets.

También han publicado un documento con alternativas para solucionar que el navegador ya no sea capaz de autenticarse. En este artículo es divertido ver como en la parte del usuario se dice que no hay de qué preocuparse ya que ahora el navegador pedirá nombre de usuario y contraseña de forma automática, mientras que, en la parte servidor, se explica cómo debe hacerse para que este "automatismo" sea posible. Es necesario añadir un par de comandos en el código de la página en que sea necesario autentificarse, pero ésto sólo funcionará con el servidor web de Microsoft y sólo para IE en la parte cliente. Menos mal que también citan que puede hacerse a través de cookies, aunque, en este caso, la solución propietaria no sería excluyente, porque el resto de navegadores sí son capaces de autenticarse normalmente.

Pese a lo excepcional de la publicación de este parche, no han cumplido con lo de publicar en cuanto estuviesen disponibles, ya que se han entretenido en ponerlos en un paquete de "sólo" 3MB.

No me gusta hablar de virus, más que nada, porque la gran mayoría de ellos no tienen el menor interés y habría muy poco de que decir acerca de ellos. Esta gran mayoría de la que hablo, a la que Mydoom pertenece, no tienen ningún peligro si no se ejecutan. Sobre cómo evitar que te engañen para ejecutarlos sí se puede escribir un artículo, pero es que ya lo he hecho y no me apetece repetirme con lo mismo cada vez que sale uno de éstos (tendría que publicar 3 ó 4 veces al día).

De todas formas, para paliar un poco los efectos de los medios de desinformación y algunos rumores que circulan por ahí, voy a recomendar una recopilación de VSAntivirus que despeja algunas dudas y confusiones: Cuentos y verdades sobre el Mydoom.

El navegador hasta ahora conocido como Mozilla Firebird (y, anteriormente, como Phoenix), coincidiendo con el lanzamiento de su nueva versión, vuelve a cambiar de nombre para evitar confusiones con otros proyectos. Parece que, ahora sí, Firefox es la denominación definitiva.

La versión para Windows trae, en ésta ocasión, un instalador que evitará que sea necesario editar el registro manualmente para hacer funcionar algunos plug-ins de terceros (como java, por ejemplo) y que ha sido uno de los principales motivos que han hecho que el lanzamiento de esta versión se haya retrasado.

El instalador que utiliza Firefox 0.8 es el que se ha usado siempre para Mozilla, que tiene un problema, y es que, si el usuario elige la instalación personalizada y no tiene cuidado al elegir el directorio de instalación, seleccionando uno que no esté vacío, los archivos que haya en ese directorio se borrarán. Esto es una característica del instalador para asegurarle al programa una instalación limpia, sin rastro de versiones anteriores en su directorio de trabajo, pero si se usa descuidadamente puede dar un disgusto. Si se tiene la precaución de preparar una carpeta vacia para instalar el programa no hay ningún problema. Seleccionando la instalación por defecto tampoco hay ninguna posibilidad de perder datos. De todas formas y, aunque la posibilidad de desastre parece remota, se ha estado discutiendo largamente si debía usarse éste instalador, modificarlo, sacar también esta versión sin instalador (descomprimir y listo, como hasta ahora) o crear uno nuevo. Al final, se ha decidido modificar el cuadro de diálogo del instalador, para intentar dejar más claro que es necesario elegir una carpeta vacia y preparar uno dedicado para la próxima versión, la 0.9, que haga las comprobaciones necesarias para que la pérdida de datos sea imposible (en lugar de como está ahora, que se confía en la decisión del usuario).

Las versiones para Linux y Mac OS X se mantienen en la misma línea que las anteriores, tan sólo es necesario descomprimir el programa y ya está listo para usar.

Como precaución adicional, en cualquiera de las plataformas disponibles, si se dispone de una versión anterior y se desea conservar las preferencias y extensiones instaladas, se recomienda desactivar estas últimas en Firebird antes de arrancar FireFox e ir activandolas en éste de una en una, por si fuese necesario actualizar alguna de ellas.

Las principales mejoras que trae Firefox están en el gestor de marcadores y en el de descargas (éste muy mejorado) y en varios pequeños detalles que facilitan el uso. Ahora también es posible trabajar desconectado sin necesidad de instalar ninguna extensión adicional (Más información sobre las novedades en las Release Notes). También se nota que la carga de páginas es aún más rápida. Y el resto de características ya clasicas: navegación por pestañas, bloqueo de pop-ups y banners, autodownload, barra de búsquedas integrada... y la protección de la privacidad y la seguridad de versiones anteriores.

Ya han salido los parches de este mes de Microsoft, entre ellos, uno que soluciona un bug que permitiría a un atacante

...ejecutar código con privilegios del sistema en un equipo afectado. De esta forma, podría realizar cualquier tipo de acción en el sistema como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los privilegios.

según el Boletín de Seguridad correspondiente. Los privilegios de sistema son los más altos que pueden conseguirse en un sistema Windows, por encima de los de Administrador.

El fallo afecta a todas las versiones de Windows NT, 2000, XP y 2003 Server. Aprovechando ésto podría crearse un gusano tipo Blaster, es decir, que fuese suficiente con estar conectado para infectarse; es lo bastante grave para recomendar la actualización inmediata.

Un usuario de los foros de ElOtroLado ha publicado una traducción no oficial (la traducción oficial es la que se está llevando a cabo por el Proyecto NAVE) al castellano del navegador Firefox.

Si hay alguno que esperaba a que estuviera disponible en español para bajárselo, ya no hace falta que siga esperando. La he instalado y no he encontrado errores. Se instala simplemente descomprimiendo un archivo en el directorio chrome y dejando que los tres ficheros que contiene sobreescriban los ya existentes.

En el momento en que esté disponible la traducción oficial, no debería haber ningún problema para instalarla.

Vía Otro blog más, en esta entrada, me entero de que la misma empresa de seguridad (eEye, famosa por su scanner de vulnerabilidades Retina) que ha descubierto la vulnerabilidad de la que hablaba ayer tiene otros siete más en la recámara, esperando a que Microsoft tenga parche para ellos para hacerlos públicos. Tres de ellos, tienen asignado un nivel de gravedad alto, de lo que se deduce que permiten ejecutar código de forma remota; el más antiguo fue comunicado a Microsoft hace más de tres meses. En esta página se presentan los fallos y su antigüedad de una forma muy gráfica.

Esto no tiene demasiada importancia para los usuarios, siempre que quede entre Microsoft y eEye y nadie más descubra los mismos bugs, pero debería ser preocupante para toda empresa que tenga secretos guardados en sus ordenadores y use el software de los de Redmond, pues ya no sólo tiene que confiar en el vendedor del software sino también en una empresa de seguridad privada, su plantilla y sus colaboradores. Si los secretos los conoce demasiada gente, ya no son secretos.

Si al menos se supiera en que consisten los fallos, se podrían tomar medidas contra ellos, pero gracias al modelo de seguridad por la oscuridad (lo que nadie conoce no puede hacerte daño) de Microsoft y el resto de empresas fabricantes de código cerrado, sus clientes están vendidos y dependen de que a nadie que conozca el bug se le ocurra explotarlo en una de sus máquinas.

En estos días en los que el spoofing está de moda (tenemos el URL spoofing que acaba de arreglarse en Internet Explorer y la falsificación de la verdadera extensión de los archivos que sigue sin arreglar), a Don Park se le ha ocurrido otra forma de hacerlo. Su idea consiste en nada más y nada menos que sustituir toda la interfaz del navegador por imágenes (incluida la barra de direcciones, claro, en la que puede "dibujarse" cualquier dirección que se desee).

Todo el mundo ha visto abrirse páginas en las que la interfaz del navegador (con su menú y sus botones de atrás y adelante) y la barra de estado no aparecen, pues es un truco muy sencillo de javascript, que se usa, sobre todo, en las pop-ups. Partiendo de ésto, se añaden imágenes que las imiten y, en medio, se pone la copia de la página que se pretende falsificar. Otro javascript, el que se usa para identificar el navegador, sistema operativo y resolución de pantalla que está usando el visitante, completa el truco, presentando distintas imágenes atendiendo a estas tres variables.

En principio, ésto puede conseguirse en cualquier navegador, pero aquellos que soportan temas y/o son personalizables son imposibles de falsificar por este método, a no ser que se esté usando el tema por defecto y no se hayan hecho otros cambios. Así, tenemos que, nuevamente, Internet Explorer es el más vulnerable a un truco como éste (la única manera de personalizar el interfaz de IE es a través de pequeños hacks en el registro de Windows, que, mucho me temo, están fuera del alcance y/o interés del usuario medio).

Como muestra, ha preparado esta página en la que puede verse el resultado (Nota: el segundo javascript del que hablo no se ha incorporado al ejemplo, así que en él sólo se simula IE 6.x sobre Windows XP).

Ésto no es, desde luego, un fallo de seguridad y, para evitarlo, habría que recortar (con un parche o una nueva versión) lo que puede hacerse con javascript sobre las ventanas en todos los navegadores (soy partidario de ello, siempre me ha parecido intrusivo que un webmaster pueda decidir a qué partes de la interfaz de mi navegador tengo acceso en sus páginas). Pero, desde luego, alguien podría ser engañado de esta forma para entregar sus contraseñas o números de tarjetas de crédito, pensando que está en una página confiable.

Me entero leyendo Denken Über de que en esta nota de Neowin se afirma que se ha filtrado código de Windows 2000 y Windows NT. Tambien se habla de ello en este hilo de Slashdot. El archivo comprimido con el código puede encontrarse en la red eDonkey.

Si realmente resulta ser parte del verdadero código de Microsoft, en pocos días puede haber novedades (y vulnerabilidades) interesantes. El código de Windows es su mayor valor, y se mantiene secreto. Las posibilidades de que sea ciertamente el código real son altas, pues Microsoft no hace mucho, comenzó a relajar su política a este respecto y ha ido mostrando partes de su código a varios gobiernos que empezaban a pensar en el software libre y, como decía hace un rato si un secreto es conocido por muchos, antes o después, deja de ser secreto.

Actualizado

Sólo mirar la lista de los ficheros filtrados impresiona. Por los nombres de ficheros y directorios, habría código del kernel, de IE, de Windows Media, de MS Access, del Explorador de Windows (que también es la shell del sistema operativo)...

Segunda actualización

Es oficial. El código es auténtico.

Según VSAntivirus el navegador Opera también sería vulnerable a la falsificación de la verdadera extensión de los ficheros a descargar.

Las soluciones para evitar caer en el engaño, por tanto, son las mismas que en el caso de Internet Explorer, mientras sale un parche o una nueva versión que arregle el fallo. Si se sigue usando Opera (o IE), no elegir nunca abrir en el cuadro de diálogo de descarga, en su lugar descargar todos los ficheros y verificar que no hay un CLSID en el nombre del archivo descargado antes de abrir un programa que pueda leer el fichero.

Las usuarios de Opera sobre otro sistema operativo distinto de Windows no tienen nada que temer de éste bug, pues no puede explotarse sin combinarse con la vulnerabilidad del Explorador de Windows que afecta al manejo de los ficheros descargados cuando una de las extensiones viene especificada con un CLSID.

Otra solución es usar el navegador Mozilla u otro basado en él.

Según OSSecurity mediante un ataque conocido como "DLL Proxy" todo lo que Internet Explorer envía (contraseñas, números de cuenta...) durante una sesión segura (https://), como es habitual en las conexiones con bancos, medios de pago electrónicos e identificación de acceso a cuentas de correo, puede ser leído y almacenado en texto plano para ser recuperado por el atacante posteriormente. El resultado sería similar a instalar un keylogger, pero más cómodo, pues encontrar algo útil entre los registros de un keylogger puede ser una tarea pesada, que se simplificaría enormemente usando este método.

Aunque es IE el que desde ahora permite explotar la vulnerabilidad, ésta (conocida como "DLL Injection") existe en todos las versiones del sistema operativo de Microsoft desde Windows 95, como llevan años denunciando en Nautopia.

En Windows 95, 98, ME y XP (éste último sólo si se usa FAT como sistema de archivos) la única forma de evitar este tipo de ataque es usar otro navegador para las transacciones que se lleven a cabo bajo conexión segura.

En Windows NT, 2000, XP (si usa NTFS como sistema de archivos) y 2003 puede dificultarse el ataque usando una cuenta de usuario distinta de la de administrador para navegar por Internet. Digo dificultar y no imposibilitar, porque podrían usarse otras vulnerabilidades para conseguir privilegios de Administrador o Sistema, por lo que el filtro ACL que proporciona NTFS no serviría para nada. Lo más seguro es usar otro navegador, si bien la precaución adicional de usar una cuenta sin privilegios para navegar es buena idea.

Microsoft fue informada de la vulnerabilidad (DLL Proxy) en diciembre del año pasado y se ha hecho pública al no haber respuesta del fabricante hasta el momento.

El Proyecto NAVE ha completado la traducción del navegador Firefox.

Arregla ciertos problemas de presentación que se daban en la versión que apareció en los foros de ElOtroLado (que, por lo demás, era muy correcta).

Hablando de traducciones, hay que visitar también Mozilla Europe, también en castellano ahora.

Microsoft ha reconocido que entre el código filtrado de Windows 2000 se encuentra la mayor parte del código de Internet Explorer 5.x, por lo que lo consideran no seguro y aconsejan la actualización inmediata (con buenas razones, a los dos días de filtrarse el código, ya se le ha encontrado un fallo de seguridad a esa versión de IE). La actualización podría muy bien no ser suficiente en fechas próximas, pues se conocen otros fallos del navegador (no agujeros de seguridad propiamente, pero sí otros que permiten colgar el navegador, abrir otras aplicaciones remotamente, etc.) que han pasado sin arreglar de una versión a otra, por lo que, aunque éste primero no afecte a IE6, otros que le sigan sí podrían hacerlo. Además, por mucho que digan que IE6 es, al menos, tan seguro como cualquier otro navegador de los que existen actualmente, debería ser evidente para cualquiera que ésto no es cierto y, menos todavía, porque le han arreglado ya muchos fallos. Lo importante no es cuantos fallos le han arreglado, sino los que quedan por arreglar que son de dominio público.

Por último, quiero hacer notar que, el hecho de que el código de un programa sea conocido, no es motivo para considerarlo inseguro; si está bien hecho, da igual que esté a la vista de todos. El código de Mozilla y de Firefox es público desde el primer momento, y son, probablemente, los navegadores más seguros hoy día.

Una de las nuevas vulnerabilidades descubierta en Internet Explorer 6 permite que puedan descargarse, instalarse y ejecutarse troyanos, virus y, en general, cualquier programa, sólo con visitar una página web, sin intervención ni conocimiento del usuario. También permite ejecutar cualquier programa del que se conozca su ubicación en el disco duro del cliente de forma remota.

La segunda vulnerabilidad permite hacer lo mismo que la anterior, aprovechando dos bugs conocidos y antiguos (más de un año) de IE que nunca han sido arreglados. Necesita también de otra aplicación que guarde información que más tarde ejecutará en un lugar y con un nombre predecibles. La lista de aplicaciones que se sabe que pueden usarse de esta manera incluyen WinAmp, Macromedia Flash Player, ICQ, AIM y, probablemente, otros clientes de mensajería instantánea.

Incluso con la protección de un antivirus actualizado y un firewall, estas dos vulnerabilidades podrían permitir a un atacante habilidoso tomar el control del equipo e instalar en él cualquier tipo de servicio o herramienta, haciéndolos funcionar sin el conocimiento del usuario.

Aconsejo instalar y comenzar a usar otro navegador de forma inmediata y, en el caso de se disponga de un firewall personal, denegar el acceso a la Red a Internet Explorer y levantar esta prohibición solamente para las visitas a Windows Update.

En VSAntivirus publican Mozilla vulnerable a ataques del tipo "Cross-Domain". En la versión actual de Mozilla ya está corregido (¡Se tardó menos de un día en corregirlo!), aunque no se ha hecho público hasta ahora.

El navegador Mozilla se diseñó con varias capas de seguridad para evitar este tipo de ataques, por lo que explotar la vulnerabilidad en versiones anteriores tampoco es sencillo y requiere cierta intervención del usuario (aunque tampoco mucha, basta con mover el ratón), sin embargo, ya que está disponible el exploit de demostración, puede hacerse uno peligroso con relativamente poco esfuerzo, así que aconsejo actualizar a la última versión por si acaso.

Una de las cosas básicas que deben hacerse en cualquier sistema operativo para mejorar su seguridad es asegurarse de que no corren más servicios de los estrictamente indispensables. En Windows XP hay, sin duda, demasiados en funcionamiento en la instalación por defecto, al menos para un uso doméstico. Varios virus y adwares se han aprovechado ya de fallos en algunos de estos servicios, habilitados por defecto, aunque inútiles para la mayor parte de la gente, para funcionar. Recortarlos al mínimo puede ser complicado para un usuario común, primero, porque el asistente que los regula está algo escondido en el panel de control y, segundo, porque en casi todos los casos no está claro que son, ni que hacen, ni para que sirven.

En WinInfo.com.ar hay un tutorial de 4 páginas en el que se explica cada uno de los servicios de Windows XP y cómo deben configurarse según la situación particular del equipo que recomiendo seguir.

Al parecer, el próximo Service Pack 2 para Windows XP reducirá algo el número de servicios que funcionan por defecto y traerá algunas mejoras más en seguridad, pero no hay porqué esperar; por cierto, el Service Pack 2 que corre por ahí es una beta, provoca inestabilidad, errores aleatorios y cuelgues en el equipo en el que se instala. No hay que dejarse llevar por la "versionitis", te puedes cargar tu Windows XP por instalarla. Es mejor esperar a la versión final oficial, que, aún así, no me extrañaría que también diera problemas, va a tocar demasiadas cosas al mismo tiempo y, la última vez que hicieron eso con un parche, tuvieron que sacar un parche para el parche y un parche para el parche del parche.