Blogia
navegaseguro

La ingeniería social sigue de enhorabuena

Se llama ingeniería social a toda técnica cuyo propósito sea engañar a un usuario para que facilite contraseñas u otra información delicada, o bien conseguir que ejecute un archivo que dé el control del equipo al ingeniero. Es decir, aprovechar las debilidades de las personas en lugar de las del software.

La definición de arriba no quita que fallos en algunos programas, aunque no se les pueda llamar fallos de seguridad con propiedad, sí pueden facilitar esta tarea. Como ejemplos pueden valer perfectamente la existencia de la extensión .Folder de la que hablaba ayer o el URL spoofing en Internet Explorer que aún sigue sin arreglar.

Bueno, pues hoy me toca hablar de otro de éstos. No es más que una pequeña variación de un antiguo fallo (del 2001) que ya dió origen a al menos un virus.

Para aprovechar el fallo se añade al nombre de un archivo un número del tipo {3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}, que es lo que se llama un CLSID, los sistemas operativos Windows los usan, junto con otros métodos, para saber de qué tipo es un archivo. El bug antiguo, sin solucionar en IE, como puede verse, era que ni Internet Explorer ni el Explorador de Windows mostraban el CLSID. Así un archivo llamado soyinofensivo.txt{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B} se mostraba como soyinofensivo.txt, cuando el CLSID indica que es un ejecutable (y, de hecho, un doble-click lo ejecuta). Este fallo se corrigió en el Explorador de Windows, pero no en el navegador.

La pequeña variación consiste en llamar a un archivo, por ejemplo, documento.{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}%2Epdf, el navegador mostrará, tanto en la barra de direcciones como en el dialogo de descarga documento.pdf (hay una prueba de concepto operativa de ésto en Secunia). El peligro reside precisamente en el diálogo de descarga, que nos ofrece descargar a disco o abrir; si se elige abrir, el IE le pasa el control al Explorador de Windows que mira el CLSID, ve que es ejecutable y lanza un programa para abrirlo. Este programa debería ser, si realmente fuese un .pdf, Adobe Acrobat Reader, pero como no lo es, lo que en realidad se abre es el mshta.exe. Sobre lo que puede hacerse conjugando mshta.exe y el archivo descargado (adelanto que es practicamente cualquier cosa), en VSAntivirus está muy bien explicado.

Este, además de facilitar la ingeniería social, es un buen ejemplo de como combinando pequeños fallos en unos y otros programas de Microsoft (que no sólo están en todas las instalaciones, sino que tampoco pueden ser desinstalados, lo que hace muy grande el conjunto de usuarios expuestos) y que llevan mucho tiempo sin arreglarse por considerarlos "no peligrosos" se pueden conseguir cosas que no pueden calificarse como "no peligrosas".

0 comentarios