Un investigador ha descubierto un comportamiento extraño e inesperado en Windows 10 que permite a atacantes remotos robar datos almacenados en discos duros cuando un usuario abre un archivo malicioso descargado con el navegador Edge.
La amenaza salió a la luz parcialmente la semana pasada cuando un investigador diferente, John Page, informó lo que llamó una falla en Internet Explorer. Page afirmó que cuando usaba el administrador de archivos para abrir un archivo MHT creado con fines malintencionados, el navegador cargaba uno o más archivos en un servidor remoto. Según Page, la vulnerabilidad afectó a la versión más reciente de IE, la versión 11, que se ejecuta en Windows 7, Windows 10 y Windows Server 2012 R2 con todas las actualizaciones de seguridad instaladas. (Ya no está claro si algún sistema operativo que no sea Windows 10 se ve afectado, al menos para algunos usuarios. Más sobre eso en un momento).
Debajo de este párrafo en la publicación de Page había un video de demostración del exploit de prueba de concepto creado por Page. Muestra un archivo MHT con una trampa explosiva que activa una carga del archivo system.ini de la computadora host a un servidor remoto. El video de Page muestra cómo se descarga el archivo con Edge.
Video de ejemplo de día cero de Internet Explorer/XML External Entity Injection. (¡Advertencia de volumen alto!)
“Esto puede permitir que los atacantes remotos exfiltren potencialmente los archivos locales y realicen un reconocimiento remoto de la información de la versión del programa instalada localmente”, escribió Page. «Ejemplo, una solicitud de ‘c:\Python27\NEWS.txt’ puede devolver información de versión para ese programa».
Cuidado con los ataques de entidades externas XML
La demostración de Page es un ejemplo de un ataque de entidad externa XML, en el que la entrada XML se utiliza para hacer referencia al contenido almacenado en fuentes externas. Cuando la aplicación que analiza XML contaminado no lo hace de forma segura, puede revelar información local confidencial a la entidad externa.
Page publicó todos los detalles técnicos y el código de explotación operativo después de que Microsoft le dijera al investigador que estaba considerando una solución, pero que había cerrado el caso y no proporcionaría ninguna actualización de estado en el futuro. La vulnerabilidad pasó desapercibida en gran medida, probablemente porque IE quedó obsoleto y se reemplazó con Edge, que, según todas las cuentas, proporciona una seguridad significativamente mejorada. Además, el exploit de dos clics (un clic para descargar y otro para ejecutar) requiere una ingeniería social no sutil del objetivo.
El miércoles, el investigador de seguridad Mitja Kolsek publicó una publicación advirtiendo que Microsoft había subestimado la gravedad de la vulnerabilidad. La evaluación se basó en su descubrimiento de que los usuarios de Windows 10 que abrieran un archivo MHT malicioso descargado con Edge también serían atacados, y de una manera que robaría muchos más archivos que solo el archivo system.ini en el exploit de Page. Peor aún, dijo Kolsek, el exploit de Page podría mejorarse para que funcione de manera más silenciosa y de una manera que permita abrir el archivo malicioso desde Edge.
“Este es claramente un problema de seguridad importante, especialmente porque el ataque se puede mejorar aún más de lo que se demostró originalmente”, escribió Kolsek, director ejecutivo de ACROS Security y cofundador del servicio de «microparcheo» 0patch.
Introduzca marca-de-la-web
Curiosamente, Kolsek dijo que no pudo reproducir el ataque cuando usó IE en Windows 7 para descargar y luego abrir el archivo malicioso. Si bien su monitor de proceso mostró que se había leído system.ini, el archivo nunca se envió al servidor remoto.
«Esto parecía una situación clásica de ‘marca de la Web'», escribió Kolsek. “Cuando se obtiene un archivo de Internet, las aplicaciones de Windows que funcionan bien, como los navegadores web y los clientes de correo electrónico, agregan una marca a tal [a] presentar en [the] forma de un flujo de datos alternativo llamado Zone.Identifierque contiene una línea ZoneId=3. Esto permite que otras aplicaciones sepan que el archivo proviene de una fuente no confiable y, por lo tanto, debe abrirse en una caja de arena o en un entorno limitado”.
El investigador confirmó que IE efectivamente colocó la marca de la Web en el archivo MHT descargado.
Luego, Kolsek intentó descargar el mismo archivo con Edge y abrirlo con IE, que sigue siendo la aplicación predeterminada para los archivos MHT. El exploit funcionó. Después de una gran cantidad de análisis, encontró la razón: Edge agregó dos entradas a la lista de control de acceso:
Mitja Kolsek
James Foreshaw del equipo de vulnerabilidad Project Zero de Google dijo las entradas que agregó Edge son «SID de capacidad y grupo para el paquete Microsoft.MicrosoftEdge_8wekyb3d8bbwe». Después de eliminar la segunda entrada—SID S-1-15-2-*—del archivo malicioso, el exploit ya no funcionó. De alguna manera, el permiso que Edge estaba agregando permitía que el archivo pasara por alto la zona de pruebas en IE.
La pregunta era: ¿por qué? Muchos más análisis utilizando un monitor de proceso e IDA finalmente mostraron que el permiso impedía una función llamada GetZoneFromAlternateDataStreamEx de leer el archivo Zone.Identifier stream y devolvió un error. IE respondió como si el archivo no tuviera la marca de la Web y permitió que el archivo se enviara al servidor remoto.
«¿Ves la ironía aquí?» Kolsek escribió. “Una característica de seguridad no documentada utilizada por Edge neutralizó una característica existente, sin duda mucho más importante (marca de la Web) en Internet Explorer”. (Es discutible que la función esté documentada aquí, pero Kolsek no está de acuerdo).
A pesar de la mayor gravedad del exploit de Kolsek y los nuevos conocimientos de su investigación, no hay indicios de que Microsoft tenga la intención de corregir el error pronto, si es que lo hace.
“La técnica descrita se basa en la ingeniería social y requiere que el usuario descargue y abra un archivo MHT malicioso”, escribió un representante de Microsoft en un correo electrónico. “Alentamos a los clientes a practicar hábitos informáticos seguros en línea, lo que incluye tener precaución al hacer clic en enlaces, abrir archivos desconocidos o aceptar transferencias de archivos. Más información sobre cómo mantenerse seguro en línea está disponible aquí”.
Sin duda, el exploit está lejos de ser un ataque drive-by aterrador que toma el control total de una computadora. Aún así, en la derecha, ejem, casos extremos, podría ser el exploit perfecto para usar en campañas dirigidas. La plataforma 0patch de Kolsek ha publicado un microparche que, según él, corrige la vulnerabilidad.
Esta historia se actualizó en los párrafos segundo y tercero para eliminar los detalles incorrectos sobre el exploit PoC de Page.
