Anteriormente ya habíamos visto un par de fallos de Internet Explorer 8, pero solo relacionados con el respeto a los estándares web (Véase:
Para ver este enlace Registrate o Inicia SesionIE 8 "respeta" los estándares
). Pero hoy, veremos un fallo relacionado con los ataques de denegación del servicio.
Internet Explorer 8 es vulnerable a los secuestros en el prototipos en el
Para ver este enlace Registrate o Inicia SesionXDR Object
. El
Para ver este enlace Registrate o Inicia SesionXDomain Request object
es una nueva característica de Internet Explore, que permite las llamadas de XML entre dominios. Por defecto, la opción, permite cruzar llamadas entre dominios cuando ambas partes están de acuerdo en la petición, esto implica que el
Para ver este enlace Registrate o Inicia SesionXDomainRequest Allowed
se adjunta a la respuesta del header del
Para ver este enlace Registrate o Inicia Sesionhost
en cuestión, al que se hace la solicitud. Dado que se trata de un objeto muy peligros,
Para ver este enlace Registrate o Inicia SesionRonald van den Heetkamp
fue a estudiar esta nueva función con el fin de examinar los aspectos de seguridad un poco más. No tardó mucho tiempo en encontrar un grave problema en relación con el secuestro de prototipo en el objeto
Para ver este enlace Registrate o Inicia SesionXDomainRequest
, que conduce a un
Para ver este enlace Registrate o Inicia SesionAtaque de Denegación de Servicio
que solo puede recuperarse con un reinicio completo del sistema. La razón por la cual es vulnerable se debe a la característica de Internet Explorer, que trata de volver a crear una sesión de la ventana cuando se bloquea una ventana. Esto sucede automáticamente, sin las interferencias del usuario, y por tanto las denegaciones del servicio pueden ser persistentes.
El problema :Se trata de un ataque muy similar al descrito en 2006 por Stefano Di Paola y Giorgio Fedon sobre
Para ver este enlace Registrate o Inicia SesionXMLHttpRequest .
Desde entonces el creo un envoltorio que ejemplifica un nuevo objeto XDR cada vez que la variable 'xdr' es llamada. Evidentemente Internet Explorer se ahoga en ella, bloquea la ventana en la que estamos trabajando y luego la intenta volver abrir (Ver imagen 1)
Imagen 1 :Para ver este enlace Registrate o Inicia SesionComo observamos en la figura 2, tratamos de finalizar explore.exe en el administrador de tareas de windows, aparecen los resultados de un nuevo navegador que se lanzó al tratar de lanzar una nueva ventana, después de finalizar Internet Explorer, se inicia un nuevo navegador y se cuelga de nuevo, y así sucesivamente .
Imagen 2 :Se comporta casi como un troyano, no podemos matar el proceso _nono_
El vector de ataque :<script>
// trying prototype hijacking here.
xdr = XDomainRequest;xdr = function() {
return new XDomainRequest();
}
ping = 'HispaSystem Group Blog';
xdr = new XDomainRequest();
xdr.open("POST", "http://hispasystem.wordpress.com");
xdr.send(ping);
</script>
Crash data :AppName: iexplore.exe AppVer: 8.0.6001.17184 ModName: ieframe.dll
ModVer: 8.0.6001.17184 Offset: 0003f8cb
ConclusiónSe necesita más investigación sobre el objeto XDR para comprender perfectamente el riesgo de que esta nueva función. Dado el ataque y se realizó con el
Para ver este enlace Registrate o Inicia SesionPoC
en
Para ver este enlace Registrate o Inicia SesionBrowserfry
Referencias & Links de interés:Fuente: Para ver este enlace Registrate o Inicia SesionHispaSystem Group Blog
Traducción: Edgar H.S. Group
PD: Si lo consideran conveniente muévanlo a hacking.
Autor