navegadores web: una plataforma emergente que es … · siguientes vectores de ataque: • los...

Navegadores Web: una plataforma emergente que es víctima de ataquespor Christoph Alme

Informe

Índice

Informe Navegadores Web: una plataforma emergente que es víctima de ataques

Navegadores Web: una plataforma emergente que es víctima de ataques 3

La columna vertebral de los ataques contemporáneos 4

Seguridad del núcleo del navegador 7

Protección frente a los exploits de ejecución de código 9

No hay sitio para el phishing 10

Alivio frente a las secuencias de comandos entre sitios 10

Seguridad de los complementos del navegador 11

La protección frente a los exploits y sus límites 13

Nuevos escondites para JavaScript 13

Un fantasma en su portapapeles 13

Las actualizaciones de los complementos 14

Conclusión 15

Acerca del autor 15

3

Navegadores Web: una plataforma emergente que es víctima de ataquesEl uso generalizado de aplicaciones Web muy interactivas y bastante independientes del servidor (suelen denominarse "rich client") para comercio electrónico, redes empresariales y colaboración online, ha terminado por catapultar los navegadores Web de su anterior condición de simples visualizadores de código HTML a toda una plataforma de software. Y dado que los usuarios de empresa están realizando en la Web una parte significativa de su trabajo (ya sea en labores de investigación o de colaboración), la seguridad de la plataforma subyacente es esencial para el éxito de la empresa.

En la misma medida que crece la capacidad de la Web y del navegador, lo hace la presencia del malware en la Web y de los sitios Web comprometidos. El vector de ataque “clásico”, consistente en utilizar archivos ejecutables maliciosos adjuntos a mensajes de correo electrónico, ha sido sobrepasado por los siguientes vectores de ataque:

Los correos electrónicos con spam sólo contienen ahora un enlace a un sitio malicioso.•Los sitios de la Web 2.0 —ya sean blogs, sitios de redes sociales o portales— se ven inundados por •enlaces a sitios maliciosos.Los sitios legítimos se ven comprometidos y utilizados indebidamente de forma que alberguen código •malicioso o incluyan un vínculo a un sitio Web malicioso.Se colocan anuncios de banners maliciosos en forma de vídeos en redes publicitarias; una vez •visualizados en sitios Web legítimos, remiten al usuario desprevenido a un sitio malicioso.Se utilizan términos de búsqueda populares para publicitar un sitio Web malicioso y atraer el tráfico hacia •él (búsqueda). En un caso reciente1 en Alemania, los atacantes utilizaron Google AdWords para atraer a los usuarios que buscaban “flash player” al sitio del atacante, que simulaba ser el sitio de Adobe.

Añadamos a esto el clásico truco de ingeniería social de la Web que muestra un mensaje de “le falta un códec de vídeo” a los visitantes de falsos sitios Web que prometen contenido para adultos, para que crean que es necesario instalar un códec de vídeo a fin de reproducir los vídeos anunciados.


Crecimiento de los exploits en sitios Web maliciosos o expuestos, organizado por variantes diferenciadas en circulación, 2007-2008.

1 http://www.pcwelt.de/start/sicherheit/firewall/news/185059/vorgeblicher_flash_player_10_ist_adware/

http://www.pcwelt.de/start/sicherheit/firewall/news/185059/vorgeblicher_flash_player_10_ist_adware/

4

Antes o después, todos esos vectores conducen a un sitio Web malicioso, ya sea el deseado por el atacante u otro que entrañe peligro para el visitante. Estos sitios utilizan exploits con el fin de instalar malware discretamente en el PC del visitante (“infección inadvertida”) o engañar a éste, por medio de alguna técnica de ingeniería social, para que descargue un malware ejecutable (“descarga inadvertida”).

Los atacantes siguen utilizando exploits conocidos, como en el caso de las vulnerabilidades de Cursor Animado (MS07-017) y Microsoft Data Access Components (MS06-014), pero de vez en cuando también emplean otros más orientados a empresas, como la vulnerabilidad de desbordamiento de búfer en un control WebEx ActiveX2 (CVE-2008-3558).

Al mismo tiempo, los navegadores Web son la plataforma esencial para las aplicaciones comerciales, tanto actuales como futuras, y están en el punto de mira de los avanzados ataques de malware presentes en la Web. La siguiente sección presenta la realidad actual de los ataques en la Web, seguida de un análisis en profundidad de la seguridad de los navegadores y sus actuales aspectos positivos y negativos. La última sección, “Las actualizaciones de los complementos” ofrece una perspectiva de las metodologías de actualización de los complementos (o plug-ins) habituales hoy para navegadores.

La columna vertebral de los ataques contemporáneosLos sitios Web maliciosos, a los que estos vectores de ataque conducen inevitablemente, se suelen configurar con la ayuda de un “exploit toolkit”. El primer toolkit que alcanzó gran difusión fue “web Attacker”, conocido posteriormente como “MPack.”

Los exploit toolkits suelen consistir en un conjunto de secuencias de comandos PHP conectado a un servidor de base de datos. Incluyen una interfaz de administración por Web que permite al atacante dirigir y controlar una campaña a distancia.


Enlace a un sitio Web malicioso colocado en el popular sitio Web 2.0 digg.com.

Usuariosde Internet

Visitan un sitioWeb legítimo

Aplicación deexploit especí�co

del navegador

Sitio Web legítimo Comprometido

Servidor malicioso

Carga

Estadísticas

Exploits

¿Hay ya infección?¿Ubicación geográ�ca?

Especí�cosdel navegador

Dinámica habitual de los ataques de malware desde la Web.

2 https://forums.symantec.com/syment/blog/article?blog.id=vulnerabilities_exploits&message.id=167#M167

https://forums.symantec.com/syment/blog/article?blog.id=vulnerabilities_exploits&message.id=167#M167

5

Estos toolkits se venden con diferentes conjuntos de exploits preinstalados. Una vez listos, el atacante necesita dirigir el tráfico hacia su sitio Web malicioso, por ejemplo, inyectando referencias a secuencias de comandos o IFRAMEs invisibles en los sitios comprometidos. En muchos casos, esto sucede mediante la explotación de las vulnerabilidades de inyección SQL en aplicaciones Web inseguras o mediante el uso de credenciales FTP robadas.

CVE Título

CVE-2008-2463 Vulnerabilidad de descarga arbitraria de archivos en Snapshot Viewer de Microsoft Access

CVE-2008-1309 Corrupción de memoria para la propiedad “Console” en control ActiveX de RealPlayer

CVE-2007-5659 Vulnerabilidades de desbordamiento de búfer en métodos de JavaScript de Adobe Reader y Acrobat

CVE-2007-5327 Varias vulnerabilidades en CA BrightStor ARCserve Backup

CVE-2007-0018 Vulnerabilidad de desbordamiento remoto de búfer en control ActiveX de NCTsoft NCTAudioFile2

CVE-2007-0015 Vulnerabilidad de desbordamiento de búfer en la negociación de URL en Apple QuickTime RTSP

CVE-2006-5820 Vulnerabilidad “LinkSBIcons()” en el control ActiveX SuperBuddy de AOL

CVE-2006-5745 Vulnerabilidad de Microsoft XML Core Services

CVE-2006-4777 Vulnerabilidad de corrupción de memoria en el control ActiveX DirectAnimation

CVE-2006-3730 Vulnerabilidad de ejecución remota de código en Windows Shell (webViewFolderIcon)

CVE-2006-0003 Vulnerabilidad en Microsoft Windows MDAC

CVE-2005-2127 Vulnerabilidad de corrupción de memoria por creación de instancias de objetos COM (Msdss.dll)

Tabla 1: Selección de exploits listos para su uso, disponibles con el toolkit “El Fiesta”.

Cuando los usuarios visitan un sitio Web previamente legítimo y que se encuentra comprometido, el sitio los remite al servidor malicioso sin que se den cuenta. Aquí se determina cuáles son las versiones de su navegador y complementos a fin de aplicar solamente los exploits con mayores probabilidades de “éxito”. Además, a veces se determina la ubicación geográfica de la víctima para limitar las campañas sólo a determinadas regiones.


Pantalla de las estadísticas de infecciones de una instalación activa del toolkit “Sploit 2.5”.

6

Los exploits sólo se aplican una vez a cada visitante, para dificultar el análisis del servidor malicioso por parte de los investigadores de seguridad. Una vez explotada con éxito la vulnerabilidad, la carga útil del atacante se descarga y se instala en el ordenador de la víctima. Suele tratarse de algún tipo de spyware que roba contraseñas y busca datos de banca online, correo Web, ICQ, FTP o inicio de sesión en Windows. Recientemente, las descargas suelen realizarse por canales clandestinos; es decir, el ejecutable está oculto, por ejemplo, dentro de un archivo gráfico de aspecto inocente.

El toolkit hace un seguimiento de los exploits que han logrado su objetivo, de cuántas veces han sido atacados los usuarios de qué navegadores, de la ubicación geográfica, etc.

Debido a la amplia disponibilidad de software capaz de leer el formato PDF (Portable Document Format) en todos los navegadores, en 2008 se añadieron a los principales toolkits los exploits de las vulnerabilidades de Adobe Reader. PDF es el formato de intercambio de documentos más usado en entornos empresariales. Un toolkit, el “PDF Xploit Pack”, ataca exclusivamente los PDF3.

De manera parecida, el toolkit “El Fiesta” ha ampliado últimamente su capacidad para explotar los PDF; ahora genera documentos PDF únicos en el lado del servidor de forma dinámica.


Interfaz de estadísticas Web del toolkit “El Fiesta”.

3 http://www.trustedsource.org/blog/153/Rise-Of-The-PDF-Exploits

http://www.trustedsource.org/blog/153/Rise-Of-The-PDF-Exploits

7

A cada visitante se le sirve un exploit de PDF con partes elegidas al azar que inhabilitan la identificación por suma de comprobación o por firma de las partes de código de secuencias de comando afectadas.

Seguridad del núcleo del navegadorLos navegadores Web representan la plataforma esencial para las aplicaciones empresariales actuales y futuras, y también son objeto de sofisticados ataques de malware desde la Web, como se ha descrito en el apartado anterior. Esta sección expone los aspectos de seguridad del núcleo del navegador, antes de profundizar en el abismo de los complementos del navegador.

Según las estadísticas más recientes, Internet Explorer de Microsoft sigue siendo el navegador más utilizado, especialmente en entornos empresariales. No obstante, Firefox ha acortado notablemente las distancias. En tercer lugar está el navegador Safari de Apple, un puesto atribuible a la popularidad de iTunes —que utiliza Safari en Windows— y también a la creciente popularidad de la plataforma Mac OS X.


PDF malicioso abierto para su análisis en FileInsight4.

Popularidad de los navegadores a septiembre de 2008 (información cortesía de Net Applications)5.

4 http://www.webwasher.de/download/fileinsight/

5 http://marketshare.hitslink.com/report.aspx?qprid=0

http://www.webwasher.de/download/fileinsight/

http://marketshare.hitslink.com/report.aspx?qprid=0

8

Aunque, apropiadamente, Google calificó su nuevo navegador Chrome como beta, esto no le impidió hacerse con el número cuatro entre los navegadores ni sobrepasar el puesto de Opera a los pocos días de su lanzamiento. Los autores de malware no pasaron por alto el estreno de Chrome: fue atacado en una vulnerabilidad de desbordamiento de búfer en sus primeros días de existencia. Estas vulnerabilidades de análisis zero-day, que se pueden utilizar para ejecutar código arbitrario sin más medios que un código HTML deformado, pueden conducir rápidamente a explotaciones de amplia difusión en el mundo real, como sucedió con “Vulnerabilidad de negociación de URI en Windows” de Internet Explorer (MS07-061).

Al usar una versión obsoleta del WebKit de código fuente abierto como motor subyacente de interpretación del código HTML, Chrome reintrodujo también la vulnerabilidad “Carpet Bomb”, que atacó a los usuarios de Safari a principios de 2008. El uso del motor obsoleto resulta especialmente peligroso para los usuarios de Internet Explorer que prueban el nuevo navegador de Google, ya que la máxima vulnerabilidad se da exactamente en este escenario: usando Chrome temporalmente, un usuario visitaría un sitio malicioso que aprovecha la vulnerabilidad para soltar un archivo arbitrario en el escritorio del usuario. Sin darse cuenta de ello, el usuario vuelve luego a usar Internet Explorer, que carga y ejecuta el archivo arbitrario.


El primer canal de televisión alemán, ARD, transmitió un aviso de la Oficina Federal de Seguridad de la Información para que no se utilice Google Chrome como navegador habitual en su estado actual.

Vulnerabilidades que afectan al núcleo del navegador Firefox, 2007-2008.

9

Teniendo en cuenta la cantidad de vulnerabilidades importantes y críticas que se han corregido en los principales navegadores en 2007 y 2008, no se aprecia hasta ahora una disminución de las vulnerabilidades ni de los problemas de malware asociados.

Protección frente a los exploits de ejecución de códigoLa ejecución remota de código arbitrario sigue siendo la amenaza más peligrosa que existe actualmente para la navegación por la Web. Si su navegador tiene una vulnerabilidad de ejecución de código no corregida por el oportuno parche, visitar un sitio potencialmente comprometido puede dar lugar a que se ejecute clandestinamente el código de un atacante en el contexto del usuario que ha iniciado la sesión, y que instale cualquier tipo de carga maliciosa, como un malware que roba contraseñas, en un ataque de “infección inadvertida”. Para ello no hace falta ninguna intervención del usuario.

La ejecución remota de código casi siempre se lleva a cabo aprovechando una vulnerabilidad de desbordamiento de búfer. Esta clase de vulnerabilidad se produce cuando un programa espera que los datos suministrados desde Internet estén en un formato determinado, pero en realidad no lo verifica. Un atacante que suministre datos manipulados deformados puede activar la vulnerabilidad y alterar la ruta de ejecución de código en el software cliente para ejecutar el código de máquina (conocido como código shell) suministrado por el atacante junto con los datos deformados.

Navegador Protección frente a desbordamiento de búfer de pila /GS

Protección frente a desbordamiento de búfer en la memoria heap /NXCOMPAT

Internet Explorer 7.0 Sí No

Firefox 3.0 Sí Sí

Apple Safari 3.1 Sí No

Google Chrome 0.2 Sí No

Opera 9.5 No No

Tabla 2: Protecciones de compilador relevantes para la seguridad, usadas en los navegadores más populares (con Windows).

Las versiones más recientes de los compiladores han introducido medidas de protección genéricas frente a los desbordamientos de búfer de pila y en la memoria heap. Con esta protección compilada en el navegador, si se produce un desbordamiento de búfer, el navegador deja de funcionar antes de que se ejecute el código malicioso. La tabla anterior muestra que, actualmente, en la mayoría de los navegadores está habilitada al menos la protección frente a los desbordamientos de búfer de pila, mientras que la protección frente a los basados en la memoria heap sólo está disponible en Firefox.

Vulnerabilidades que afectan al núcleo del navegador Internet Explorer, 2007-2008.


10

No hay sitio para el phishingLos exploits de ejecución de código son ataques puramente técnicos. La mejor defensa para todos los usuarios es mantenerse al día con parches y con actualizaciones de los programas antimalware. Los administradores también pueden emplear un sistema antimalware en el gateway con heurística de desbordamientos de búfer y de detección de código shell, además de un sistema de prevención de intrusiones en el host (HIPS) que proporciona protección genérica frente al desbordamiento de búfer para los exploits habituales de este tipo y para las vulnerabilidades específicas de los navegadores.

Los principales navegadores actuales, Internet Explorer y Firefox, se distribuyen con protección incorporada frente al phishing, consistente en una lista de sitios de phishing conocidos. Por ejemplo, si se utiliza Firefox en Mac OS X, bloqueará el acceso a los sitios de phishing conocidos, proporcionando a los usuarios una protección adicional respecto al navegador predeterminado de la plataforma, Safari.

Los administradores de TI tienen que decidir si pueden aplicar una directiva común de navegador en todas las plataformas y dispositivos o si les va mejor usar protección central frente al phishing en el gateway de la empresa.

Alivio frente a las secuencias de comandos entre sitiosLas secuencias de comandos entre sitios (XSS) son un tipo de vulnerabilidad que permite, erróneamente, la ejecución de secuencias de comandos desde un sitio Web hostil en el contexto de otro sitio (de confianza), con lo que el sitio hostil puede robar datos (por ejemplo, datos de inicio de sesión) asociados al sitio Web de confianza. Esto puede suceder, por ejemplo, cuando las secuencias de comandos maliciosas se pasan junto con una consulta de búsqueda o en un formulario Web que se publica en la aplicación Web vulnerable. Entonces, la aplicación Web vulnerable no “normaliza” el código de secuencia de comandos, sino que devuelve un contenido que incluye el código suministrado por el atacante. A continuación, el navegador interpreta el contenido y también ejecuta las secuencias de comandos inyectadas. En este punto, el navegador “cree” que el código pertenece al contexto del sitio Web de confianza y, por tanto, dicho código obtendrá pleno acceso a los datos del sitio.

Normalmente, la “directiva de igual origen” impide este tipo de acceso en los navegadores Web actuales; es decir, el único código de secuencia de comandos que puede acceder a los datos del sitio X es el que reside en el sitio X. La forma más simple de vulnerabilidad XSS es la inyección remota de secuencias de comandos en la respuesta de un servidor Web; esos ataques se suelen identificar por la presencia de etiquetas “<script>” en la URL de la solicitud (en sus diversas formas de codificación, como “%3Cscript”, etc.) o por la presencia de funciones de secuencia de comandos de acceso a datos como “document.cookie”.


Firefox abierto en un Mac OS X, bloqueando el acceso a un sitio de phishing conocido.

11

La próxima Versión 8 de Internet Explorer, actualmente en fase beta, introduce una capa de protección muy prometedora6 frente a este tipo de secuencias de comandos entre sitios. Al recibir la respuesta del servidor Web, el navegador compara la URL de la solicitud con el cuerpo de la respuesta. Busca fragmentos coincidentes que indiquen la presencia de tokens de secuencias de comandos incluidos en los parámetros de la URL y repetidos en el cuerpo.

Tipo Software, sitio Web o dispositivo afectados

XSS Mambo CMS http://www.securityfocus.com/archive/1/487128/30/0/threaded

XSS Drupal CMS http://drupal.org/node/295053

XSS Joomla CMS http://www.securityfocus.com/archive/1/485676/30/0/threaded

XSS Apache Tomcat http://tomcat.apache.org/security-6.html

XSS PayPal http://news.netcraft.com/archives/2008/05/16/paypal_xss_vulnerability_undermines_ev_ssl_security.html

Escalación de privilegios entre zonas

Skype http://skype.com/security/skype-sb-2008-001.html

XSS Facebook http://www.xssed.com/news/69/Facebook_vulnerable_to_XSS._Over_70_million_users_are_at_risk

CSRF Linksys Router http://www.heise-online.co.uk/security/Crafted-web-site-switches-off-router-firewall--/news/101650

Tabla 3: Extracto de secuencias de comandos entre sitios (XSS) y vulnerabilidades asociadas en 2008.

No todas las variantes de XSS son tan fáciles de repeler. Una ingeniosa variante de XSS se conoce como falsificación de peticiones entre sitios (CSRF). En 2008, una vulnerabilidad CSRF fue explotada en el mundo real en el router Linksys, desactivando el firewall del router. En estos ataques CSRF no intervienen secuencias de comandos, sino que explotan vulnerabilidades de la aplicación Web atacada engañando a un usuario para que abra un sitio Web que a su vez invoca una URL con parámetros específicos de la aplicación. Imagine, por ejemplo, que la interfaz Web de su router permite modificar la configuración invocando una determinada URL. El ejemplo siguiente está tomado del ataque CSRF a Linksys:

https://192.168.1.1/apply.cgi?submit_button=Firewall&change_action =&action=Apply&...

Un atacante pondría una URL de este tipo en el sitio Web hostil, por ejemplo, como código fuente de una etiqueta “<img>”; una vez que el navegador interprete esa página, invocará de manera implícita esta URL. Afortunadamente, esos ataques sólo son posibles cuando el usuario ya ha iniciado una sesión en la aplicación atacada (por ejemplo, una interfaz de administración de router).

Seguridad de los complementos del navegadorAunque la mayoría de las amenazas de malware llegan por vía de la Web, el ataque casi nunca va dirigido contra el núcleo del navegador. En el mundo real, es más frecuente que sea cualquier tipo de complemento —bien sea de lectura de documentos, contenido interactivo o controles ActiveX— el que se vea atacado.

Por eso, por muy resistente que se haya vuelto el navegador Internet Explorer en los últimos años, un desbordamiento de búfer como el de la “Vulnerabilidad en control ActiveX de Cisco WebEx Meeting Manager” (CVE-2008-3558) —que fue explotada a las dos semanas de conocerse— seguiría siendo un importante motivo de preocupación para cualquier administrador de TI de una empresa que utilice WebEx. El control vulnerable sólo se actualizaría en el caso de conectarse a un servidor WebEx al que se le hubiera aplicado el parche oportuno.


6 http://blogs.msdn.com/ie/archive/2008/07/02/ie8-security-part-iv-the-xss-filter.aspx

http://www.securityfocus.com/archive/1/487128/30/0/threaded

http://drupal.org/node/295053

http://www.securityfocus.com/archive/1/485676/30/0/threaded

http://tomcat.apache.org/security-6.html

http://news.netcraft.com/archives/2008/05/16/paypal_xss_vulnerability_undermines_ev_ssl_security.html

http://skype.com/security/skype-sb-2008-001.html

http://www.xssed.com/news/69/Facebook_vulnerable_to_XSS._Over_70_million_users_are_at_risk

http://www.heise-online.co.uk/security/Crafted-web-site-switches-off-router-firewall--/news/101650

http://blogs.msdn.com/ie/archive/2008/07/02/ie8-security-part-iv-the-xss-filter.aspx

12

Los complementos del navegador se suelen instalar a petición; en cuanto usted visita un sitio y quiere ver, por ejemplo, algún contenido interactivo (película Flash, applet de Java, etc.), es posible que su navegador le invite a instalar el complemento que le falta. Recele de los sitios Web maliciosos que intentan explotar esto en forma de truco de ingeniería social; una estratagema habitual es engañar a los visitantes para que descarguen un “códec de vídeo que les falta”.

A lo largo del tiempo, la mayoría de los usuarios amplían la capacidad de sus navegadores con más y más complementos, necesarios para visualizar correctamente diversos sitios Web. Si a eso le añadimos la instalación side-by-side de algunos complementos en varias versiones —por ejemplo, los entornos en tiempo de ejecución Java y .NET— es fácil entender que, de momento, las preocupaciones por la seguridad de los complementos de los navegadores no van a desaparecer.

Complemento de navegador Instalado en % de usuarios Compatible con

Flash Player 98,8 Todos

Adobe Reader > 80 Todos

Sun Java 84 Todos

Windows Media Player 82,2 Internet Explorer

QuickTime Player 66,8 Todos

Real Player 47,1 Todos

Tabla 4: Datos tomados del Informe Técnico nº 288 de ETH Zurich “Para entender la amenaza de los navegadores Web”7.


Vulnerabilidades que afectan a los complementos populares para navegadores, 2007-2008.

7 http://www.techzoom.net/publications/insecurity-iceburg/

13

La protección frente a los exploits y sus límitesAl igual que sucede con los navegadores Web, la protección frente a los desbordamientos de búfer de pila están ya incorporados en la mayoría de los complementos para navegadores. En cambio, sigue faltando la protección frente a los desbordamientos de búfer basados en la memoria heap.

Complemento de navegador Protección frente a desbordamiento de búfer /GS

Protección frente a desbordamiento de búfer en la memoria heap /NXCOMPAT

Flash Player 9.0 No No

Adobe Reader 9 Sí Sí

Sun Java 6 Sí No

QuickTime 7.55 Sí Sí

Real Player Sí No

Silverlight Sí Sí

Tabla 5: Protecciones de compilador relevantes para la seguridad, usadas en los complementos más populares para

navegadores con Windows.

El uso de un complemento inseguro hace que el navegador también lo sea. Por ejemplo, se puede hacer mal uso de los entornos en tiempo de ejecución Java y .NET para asignar memoria con los privilegios de ejecución activados, permitiendo al malware eludir con mayor facilidad la prevención de ejecución de datos (DEP), como demuestran Sotirov y Dowd en su informe de BlackHat 2008 “Bypassing Browser Memory Protections” (Cómo eludir las protecciones de memoria de los navegadores)8.

Nuevos escondites para JavaScriptPuesto que los analizadores antimalware son capaces de inspeccionar el código JavaScript en las páginas Web, los atacantes están ocultando su código malicioso para evitar que sea detectado con facilidad. Los métodos de detección genérica y desempaquetado no han puesto fin a este juego de caparazones, ya que ahora los atacantes están llevando su código JavaScript malicioso a los formatos de archivo manejados por los complementos para navegadores. Los vídeos Flash y los documentos PDF, por ejemplo, se usan ahora como portadores de código JavaScript malicioso.

Un fantasma en su portapapelesComo hemos observado en la introducción, los vectores de ataque actuales incluyen la inundación de blogs y foros con entradas y enlaces a sitios Web maliciosos. Éstos no tienen que ser creados necesariamente de manera explícita por los atacantes: en un caso reciente, las sesiones de navegación de usuarios inocentes fueron secuestradas para realizar esta tarea de forma indirecta9.

Los atacantes descubrieron, al profundizar en las posibilidades de las secuencias de comandos de Flash, un método que permite colocar texto en el portapapeles de un usuario. Equipados con esta funcionalidad aparentemente sencilla, los atacantes crearon a continuación un vídeo Flash que sobrescribe el portapapeles con contenido de texto fraudulento y un enlace malicioso cada par de segundos, y alimentaron este vídeo Flash en forma de anuncio banner en las redes publicitarias. Una vez que aparece el banner como anuncio en algún sitio legítimo visitado por el usuario, el mensaje fraudulento se coloca clandestinamente en el portapapeles. El usuario puede pensar que ha copiado algún pasaje de texto interesante en el portapapeles y, mientras tanto, cambia a un blog o foro favorito e intenta publicar este texto interesante. En lugar de eso, publicará accidentalmente lo último que se ha colocado en el portapapeles, que, en este caso, es el texto y enlace del atacante. De este modo, los usuarios desprevenidos hacen el trabajo de distribución de los atacantes. La única solución para pararle los pies al “fantasma” que habita en su portapapeles es cerrar el navegador que está ejecutando el vídeo Flash malicioso.

Esta técnica ha sido utilizada en el mundo real para promover enlaces a lo que se conoce como productos antispyware no fiables, es decir, falsos productos que intentan asustar10 a los usuarios presentándoles un falso análisis de su sistema y pretendiendo que su ordenador ha sido infectado por malware.


8 http://taossa.com/archive/bh08sotirovdowd.pdf

9 http://www.trustedsource.org/blog/145/Rouge-Flash-ads-hijack-your-clipboard

10 http://www.trustedsource.org/blog/148/Fake-Madonna-video-turns-the-blue-screen-on

http://taossa.com/archive/bh08sotirovdowd.pdf

http://www.trustedsource.org/blog/145/Rouge-Flash-ads-hijack-your-clipboard

http://www.trustedsource.org/blog/148/Fake-Madonna-video-turns-the-blue-screen-on

14

Las actualizaciones de los complementosLos administradores de TI de las empresas tienen que controlar el software instalado y la implantación de las actualizaciones, pero es poco frecuente que dispongan de todo el presupuesto, herramientas y personal que necesitan para ello. En los entornos empresariales actuales, las actualizaciones de Windows y otras aplicaciones de Microsoft se suelen aplicar por medio de “Windows Server Update Services” internos.

Complemento de navegador

Intervalo Descarga Instalación

Flash Player Mensual Por notificación Por notificación

Adobe Reader Semanal Automática Por notificación

Sun Java Mensual Por notificación Por notificación

Windows Media Player Windows Update Automática Automática

QuickTime Player Semanal Por notificación Por notificación

Real Player Dos veces por semana Automática Automática

Silverlight Windows Update Automática Automática

Complementos de navegador y sus intervalos de comprobación de actualización.

Normalmente, los complementos de terceros no se distribuyen por medio del Update Server de Microsoft. En un caso en el que, de forma predeterminada, se incluyeron versiones vulnerables del Flash Player de Adobe con Windows XP, Microsoft emitió el boletín de seguridad MS06-020 para parchearlas. Los complementos de terceros se distribuyen con sus propios actualizadores y pueden carecer de funciones de control que son necesarias para las grandes empresas. Los complementos que notifican a los usuarios acerca de la existencia de una actualización, en lugar de instalarla automáticamente, suponen un problema en un entorno empresarial, por la simple razón de que dejan la decisión de actualizar a los usuarios, a quienes esto molesta y distrae de su trabajo.

Además, es posible que los ordenadores de sobremesa no estén autorizados a descargar parches ejecutables directamente desde el sitio Web de un proveedor, debido a unas directivas de seguridad rigurosas. Y, lo que es más importante, los usuarios no debieran hacer su trabajo cotidiano normal con una cuenta de administrador, sino con una cuenta normal de usuario restringido. Por eso a menudo no pueden aplicar los parches.


Actualizador de QuickTime anunciando el navegador Safari e iTunes, a pesar de que la versión de QuickTime instalada ya estaba al día.

McAfee y/o las marcas adicionales incluidas en el presente documento son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas filiales en los Estados Unidos y/o en otros países. El color rojo asociado a la seguridad es el distintivo de los productos de la marca McAfee. Todas las demás marcas comerciales, tanto registradas como no registradas, mencionadas en este documento son propiedad exclusiva de sus propietarios respectivos. © 2009 McAfee, Inc. Reservados todos los derechos. código de proyecto nº 5476wp_webw_browsers_0109

McAfee, S.A. Avenida de Bruselas nº 22 Edificio Sauce. 28108 Alcobendas Madrid, España www.mcafee.com/es


Otro aspecto de las metodologías de actualización de los complementos de terceros es que a veces anuncian aplicaciones adicionales a las que los usuarios quieren. Esto lo hacen una serie de proveedores, como Adobe, Apple, Google, Mozilla y Yahoo. El QuickTime de Apple, por ejemplo, se distribuye con Apple Updater, que ofrece instalar Safari y otras aplicaciones. Para Apple, ésta es una buena forma de distribuir su navegador Web, pero supone una carga más para los administradores, que se ven obligados a gestionar otra aplicación, una aplicación que quizá no esté aprobada.

Conclusión La primera capa de defensa frente al malware se debería colocar en el perímetro de la red y administrarse de forma centralizada. Esto ayuda al informático responsable a dormir mejor. Esta capa, por sí sola, no puede sustituir a una administración e implementación adecuadas, pero sirve para que los ordenadores de sobremesa cuyo software local de seguridad está desactualizado o mal configurado se mantengan protegidos mientras navegan por Internet, y puede identificar y aislar los ordenadores de sobremesa infectados, evitando la fuga de datos confidenciales y credenciales. Y, dado que un número escaso de falsos positivos resulta menos problemático al nivel del gateway, es posible utilizar una heurística más agresiva que haga posibles las tasas máximas de detección proactiva.

Acerca del autorChristoph Alme ocupa el puesto de Jefe de I+D en antimalware en la unidad de negocio Network Security de McAfee, antes Secure Computing. Es responsable de supervisar la investigación y el desarrollo de antimalware. Alme es el inventor de varias tecnologías clave, pendientes de patente, en el campo de la detección proactiva del malware. Antes de incorporarse a Secure Computing, trabajó en SAP y en BMW.

www.mcafee.com/es

navegadores web: una plataforma emergente que es … · siguientes vectores de ataque: • los...

Documents