Utilidad para vigilar el uso del Modo Protegido de IE


El modo protegido de Internet Explorer es, en realidad, el uso de control de integridad aplicado al navegador de Microsoft. Una especie de sandbox. Esta funcionalidad aporta una medida extra de seguridad a Internet Explorer, además de ser, junto a Chrome de los pocos navegadores que la utilizan. Pero en Internet Explorer existe una forma por diseño de eludirla. Hemos creado una pequeña herramienta que permite vigilar qué aplicaciones se pueden saltar la sandbox.





Desde su versión Vista, Windows implementa MACL ("Mandatory Access Control List"). Todos sus objetos tienen un "nivel de integridad" asociado. Normalmente "medio". Los objetos (procesos, ficheros, carpetas…) que tengan asociado un nivel de integridad "bajo", no podrán acceder a niveles superiores ("medio" o "alto"), mientras que los de nivel "medio" o "alto" sí podrán acceder a los objetos definidos con nivel de integridad "bajo".

Esto deja a los procesos o archivos definidos con nivel de integridad "bajo", en una especie de sandbox, puesto que no pueden acceder a nada con nivel "medio"… o sea, al disco duro.


¿Cómo se definen estos niveles de integridad?

Aunque es una herramienta muy útil, no existe forma gráfica de hacerlo en Windows. Sólo es posible con la utilidad icacls.exe o a través de APIs específicas en los procesos. Tampoco existen demasiados programas que las utilicen de forma predeterminada. Uno de ellos es Internet Explorer, y al hecho de usarlo en sus procesos, Windows lo llama "Modo protegido".

IMAGEN1

Pero claro, ¿cómo es posible grabar a disco algo descargado desde el navegador, o realizar cambios en el sistema, si en teoría con el modo protegido el navegador no puede acceder a esa parte? Tanto Chrome como Internet Explorer manejan el concepto de "broker" que es un proceso en modo de integridad "medio", que siempre se ejecuta y  hace de intermediario para que el navegador no se encuentre totalmente aislado. Esto puede suponer un punto de exposición.

¿Quién es "broker" en Windows?

¿A qué otros programas se les permite actuar de esta manera?

Los que están definidos en esta rama de registro:

SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy

Tanto en su versión de LocalMachine como de CurrentUser. La mayoría de las extensiones y plugins de Internet Explorer necesitan de estas políticas de elevación para poder funcionar cómodamente. Si no fuese así, muchas de estos programas integrados en el navegador, esperarían confirmación cada vez que son ejecutados.

Así que si la rama "Policy" del programa "broker" tiene el valor 3, una instancia del programa que se ejecute con integridad "baja" podrá invocarlo de forma silenciosa (sin que apareciese el diálogo) y manejará la petición en modo de integridad "medio"... lo que supone un peligro. Otras opciones de ejecución de estos programas "brokers" son: el valor 0, que impide que sea lanzado; el valor 1 que haría que se lanzase el proceso desde Internet Explorer siempre con  nivel "bajo" sin preguntar; y el nivel 2 que lanzaría el programa con nivel "medio" preguntando.

Una buena parte del adware que se instala en forma de barra en Internet Explorer, también se introduce en esa rama del registro para ejecutarse de forma transparente.

MICBypassCheck

Sergio de los Santos creó una pequeña herramienta (no demasiado elaborada estéticamente) que, simplemente, recorre esa lista de programas y muestra de forma cómoda sus políticas. Un código de colores ayuda a diferenciar qué política tiene cada programa. Además, marcará en rojo las rutas a programas que no existen. Por ejemplo, ciertos programas desinstalados pueden "olvidar" el eliminar esa rama. Estos pueden ser eliminados sin problemas. El programa también permite grabar un fichero con la información.


Ha sido programado en C# por Sergio de los Santos y  necesita .NET 4 para funcionar.

Está disponible desde:http://hispasec.com/micbypasscheck/micbypasscheck.exe

Por cierto, durante su elaboración se descubrió algo muy curioso:http://blog.hispasec.com/laboratorio/411

Fuente:
Por Sergio de los Santos
htp://hispasec.com
Twitter: @ssantosv




Otras noticias de interés:

OpenOffice chao, bienvenido LibreOffice y The Document Foundation
Excelente noticia en el mundo del software libre, diferentes sitios web y blogs se hacen eco de la nota publicada por la gente de OpenOffice....
Archivos de Microsoft Access es un posible vector de ataque
De acuerdo a una alerta del US-CERT (Computer Emergency Readiness Team), criminales en línea están explotando un fallo en las bases de datos de Microsoft Office Access, para instalar software no solicitado en las computadoras de los usuarios vulner...
Corto animado Antivirus: El agente McAfee defendiendo el Sistema Operativo
Excelente corto animado de Santiago Riscos y Rafael Cano, “Rafiki”, que nos muestra al agente especial McAfee luchando contra los virus dentro del sistema operativo Mirrors XD. No siempre se ganan las batallas, sobre todo por culpa de “La Gran ...
Carta a la Ministra Socorro Hernández sobre OOXML (Venezuela)
Carta enviada a la Ministra para evitar el voto a favor por el OOXML por parte de Venezuela...
Microsoft planea bloquear Linux en las Laptops
Mientras Microsoft está planeando bloquear Linux en las laptops económicas o las que ellos llaman Ultra Lowcost, nosotros podemos ver como los mismos fabricantes ya han bloqueado Windows XP, las computadoras sus drivers no son compatibles con los d...
Ejecución remota de comandos en Apache Struts
Se han anunciado cuatro vulnerabilidades en Apache Struts (versiones 2.0.0 - 2.3.1.1), que podrían permitir a un atacante remoto ejecutar código Java....
La seguridad corporativa necesita cambios
Las transformaciones tecnológicas, como la movilidad o la virtualización, abren huecos en la seguridad de las organizaciones que pueden ser aprovechados por los cibercriminales, según un informe de Cisco....
Malware por geolocalización de IP
Con tal de que el usuario abra un correo electrónico y haga clic en un enlace, los delincuentes informáticos no se cansan de poner en marcha nuevas técnicas que aumenten las posibilidades de que alguien caiga en la trampa....
Encuentran más vulnerabilidades en Internet Explorer
Un día después de que Microsoft lanzara un parche que soluciona las vulnerabilidades aprovechadas para los ataques contra Google, aparecen otros fallos en Internet Explorer....
Facebook vuelve activar cookie de rastreo
Todo apunta a que la red social ha vuelto a habilitar una cookie que rastreaba la navegación del usuario. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • modo
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • protegido
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • uso
  • utilidad
  • vaslibre
  • vigilar
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra