Utilidad para vigilar el uso del Modo Protegido de IE


El modo protegido de Internet Explorer es, en realidad, el uso de control de integridad aplicado al navegador de Microsoft. Una especie de sandbox. Esta funcionalidad aporta una medida extra de seguridad a Internet Explorer, además de ser, junto a Chrome de los pocos navegadores que la utilizan. Pero en Internet Explorer existe una forma por diseño de eludirla. Hemos creado una pequeña herramienta que permite vigilar qué aplicaciones se pueden saltar la sandbox.





Desde su versión Vista, Windows implementa MACL ("Mandatory Access Control List"). Todos sus objetos tienen un "nivel de integridad" asociado. Normalmente "medio". Los objetos (procesos, ficheros, carpetas…) que tengan asociado un nivel de integridad "bajo", no podrán acceder a niveles superiores ("medio" o "alto"), mientras que los de nivel "medio" o "alto" sí podrán acceder a los objetos definidos con nivel de integridad "bajo".

Esto deja a los procesos o archivos definidos con nivel de integridad "bajo", en una especie de sandbox, puesto que no pueden acceder a nada con nivel "medio"… o sea, al disco duro.


¿Cómo se definen estos niveles de integridad?

Aunque es una herramienta muy útil, no existe forma gráfica de hacerlo en Windows. Sólo es posible con la utilidad icacls.exe o a través de APIs específicas en los procesos. Tampoco existen demasiados programas que las utilicen de forma predeterminada. Uno de ellos es Internet Explorer, y al hecho de usarlo en sus procesos, Windows lo llama "Modo protegido".

IMAGEN1

Pero claro, ¿cómo es posible grabar a disco algo descargado desde el navegador, o realizar cambios en el sistema, si en teoría con el modo protegido el navegador no puede acceder a esa parte? Tanto Chrome como Internet Explorer manejan el concepto de "broker" que es un proceso en modo de integridad "medio", que siempre se ejecuta y  hace de intermediario para que el navegador no se encuentre totalmente aislado. Esto puede suponer un punto de exposición.

¿Quién es "broker" en Windows?

¿A qué otros programas se les permite actuar de esta manera?

Los que están definidos en esta rama de registro:

SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy

Tanto en su versión de LocalMachine como de CurrentUser. La mayoría de las extensiones y plugins de Internet Explorer necesitan de estas políticas de elevación para poder funcionar cómodamente. Si no fuese así, muchas de estos programas integrados en el navegador, esperarían confirmación cada vez que son ejecutados.

Así que si la rama "Policy" del programa "broker" tiene el valor 3, una instancia del programa que se ejecute con integridad "baja" podrá invocarlo de forma silenciosa (sin que apareciese el diálogo) y manejará la petición en modo de integridad "medio"... lo que supone un peligro. Otras opciones de ejecución de estos programas "brokers" son: el valor 0, que impide que sea lanzado; el valor 1 que haría que se lanzase el proceso desde Internet Explorer siempre con  nivel "bajo" sin preguntar; y el nivel 2 que lanzaría el programa con nivel "medio" preguntando.

Una buena parte del adware que se instala en forma de barra en Internet Explorer, también se introduce en esa rama del registro para ejecutarse de forma transparente.

MICBypassCheck

Sergio de los Santos creó una pequeña herramienta (no demasiado elaborada estéticamente) que, simplemente, recorre esa lista de programas y muestra de forma cómoda sus políticas. Un código de colores ayuda a diferenciar qué política tiene cada programa. Además, marcará en rojo las rutas a programas que no existen. Por ejemplo, ciertos programas desinstalados pueden "olvidar" el eliminar esa rama. Estos pueden ser eliminados sin problemas. El programa también permite grabar un fichero con la información.


Ha sido programado en C# por Sergio de los Santos y  necesita .NET 4 para funcionar.

Está disponible desde:http://hispasec.com/micbypasscheck/micbypasscheck.exe

Por cierto, durante su elaboración se descubrió algo muy curioso:http://blog.hispasec.com/laboratorio/411

Fuente:
Por Sergio de los Santos
htp://hispasec.com
Twitter: @ssantosv




Otras noticias de interés:

¿Crackear un password en 5 minutos? ¡Una realidad!
Leyendo el Blog de Mundo Binario, Sebastián el propietario explica su experiencia en el crack de la clave de Microsoft Windows. A continuación el relato...
Virus en redes sociales
En las últimas semanas, aplicaciones maliciosas de Facebook han capturado la atención de los usuarios infectándolos y generando un envío masivo de spam que ha alertado a todo el mundo....
Actualización de seguridad para Apple iTunes
Apple ha publicado una actualización de iTunes para corregir una vulnerabilidad en iTunes (versiones anteriores a la 9.2.1) que un atacante remoto podría aprovechar para causar una denegación de servicio o ejecutar código arbitrario....
Nueva versión de Free Pascal 2.4.0
Publicado nueva versión 2.4.0, compilador libre y multiplataforma de Object Pascal en 32 y 64 bit....
Midiendo la seguridad
La gestión de la seguridad no es una tarea fácil, por ello los responsables de seguridad necesitan conocer ¿cómo pueden medir la gestión de la seguridad de su empresa?, es decir, la calidad del sistema de gestión de la seguridad de la informaci...
Vulnerabilidad crítica y parches de terceros
No uno, sino dos, son los grupos independientes que han decidido liberar al público parches temporales para proteger a los usuarios mientras el gigante del software desarrolla el suyo, de otra vulnerabilidad del tipo Zero day recientemente descubier...
Los certificados de seguridad no son efectivos
Cualquier internauta se ha cruzado con ellos en la Red. Esos avisos de certificados no válidos saltan de vez en cuando para indicarnos que estamos entrando en una página Web que tal vez no sea segura....
Una web contra la censura en Internet
Amnistía Internacional celebró el domingo su 45 aniversario con el lanzamiento de una campaña global contra la censura estatal de Internet. ...
Discos de Linux gratuitos, y a tu casa
Hace un tiempo les habíamos contado que se pueden encargar discos de Ubuntu gratuitamente y a tu casa. Bueno, la cosa se acaba de poner incluso mejor. Ahora unos canadienses, a través de un sitio llamado TheLinuxStore....
Expertos advierten sobre la seguridad en Adobe - AIR
AIR (Adobe Integrated Runtime), es una tecnología gratuita que permite la creación de aplicaciones interactivas de escritorio basadas en HTML, Ajax, Flash y otras herramientas del tipo Web 2.0. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • modo
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • protegido
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • uso
  • utilidad
  • vaslibre
  • vigilar
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra