Fallo en Microsoft Crypto API revela información y facilita ataques y spam

4 04 2008
pjlighthouse-security-tip-trick-vulnerability-seo.jpg

Un fallo de diseño en la validación remota de certificados X.509 posibilita a un atacante obtener información relevante sobre el usuario que abre un email o un documento con Microsoft Office 2007, Microsoft Outlook 2007 y Microsoft Windows Live Mail 2008. No se descarta que otros productos de Microsoft que utilicen la misma API criptográfica puedan estar también afectados.

El problema ha sido descubierto por el investigador alemán Alexander Klink, y puede ser explotado por un atacante para generar peticiones HTTP a hosts y puertos arbitrarios sin que el usuario tenga conocimiento ni se le presente la opción de evitarlo. De esta manera un ‘spammer’ puede comprobar si una dirección email existe y cuándo es abierto un correo firmado con S/MIME y desde qué IP. También es posible saber cuándo y desde qué IP se abre un determinado documento mediante Office. El atacante puede también acceder así a otras máquinas y redes desde la máquina de la víctima o incluso a otras máquinas ocultas dentro de su propia red.

La Crypto API permite la conexión a las URIs y puertos indicados en el propio certificado para obtener los certificados intermedios de la cadena de validación, sin tener en cuenta que las peticiones pueden ser maliciosas (un aspecto que debería probablemente haber sido especificado en el RFC correspondiente, evitando así implementaciones como la que nos ocupa). Las conexiones se desencadenan tan pronto como se abre el documento (en Outlook basta con el panel de vista previa) y además no se solicita permiso al usuario. Para colmo, las conexiones dirigidas a intentar validar el certificado ocurren aunque la firma S/MIME no sea válida, y se repiten a intervalos de tiempo indeterminados.

El impacto real de esta vulnerabilidad reside en que puede utilizarse como mecanismo de control sobre quién (qué IP) abre qué cosas y cuándo. Heise habla abiertamente del “retorno de los Web Bugs” y nos recuerda que el FBI ha utilizado mecanismos semejantes y podría también utilizar éste, dando así pábulo a las teorías conspiranoicas.

Según el descubridor, no son vulnerables ni Lotus Notes, ni Mozilla Thunderbird, ni las aplicaciones de email de Apple, ni los clientes basados en OpenSSL.

Microsoft ha sido informado, pero la solución no parece inminente…

Vía: Kriptópolis


Acciones

Information

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




A %d blogueros les gusta esto: