Utilidad para vigilar el uso del Modo Protegido de IE


El modo protegido de Internet Explorer es, en realidad, el uso de control de integridad aplicado al navegador de Microsoft. Una especie de sandbox. Esta funcionalidad aporta una medida extra de seguridad a Internet Explorer, además de ser, junto a Chrome de los pocos navegadores que la utilizan. Pero en Internet Explorer existe una forma por diseño de eludirla. Hemos creado una pequeña herramienta que permite vigilar qué aplicaciones se pueden saltar la sandbox.





Desde su versión Vista, Windows implementa MACL ("Mandatory Access Control List"). Todos sus objetos tienen un "nivel de integridad" asociado. Normalmente "medio". Los objetos (procesos, ficheros, carpetas…) que tengan asociado un nivel de integridad "bajo", no podrán acceder a niveles superiores ("medio" o "alto"), mientras que los de nivel "medio" o "alto" sí podrán acceder a los objetos definidos con nivel de integridad "bajo".

Esto deja a los procesos o archivos definidos con nivel de integridad "bajo", en una especie de sandbox, puesto que no pueden acceder a nada con nivel "medio"… o sea, al disco duro.


¿Cómo se definen estos niveles de integridad?

Aunque es una herramienta muy útil, no existe forma gráfica de hacerlo en Windows. Sólo es posible con la utilidad icacls.exe o a través de APIs específicas en los procesos. Tampoco existen demasiados programas que las utilicen de forma predeterminada. Uno de ellos es Internet Explorer, y al hecho de usarlo en sus procesos, Windows lo llama "Modo protegido".

IMAGEN1

Pero claro, ¿cómo es posible grabar a disco algo descargado desde el navegador, o realizar cambios en el sistema, si en teoría con el modo protegido el navegador no puede acceder a esa parte? Tanto Chrome como Internet Explorer manejan el concepto de "broker" que es un proceso en modo de integridad "medio", que siempre se ejecuta y  hace de intermediario para que el navegador no se encuentre totalmente aislado. Esto puede suponer un punto de exposición.

¿Quién es "broker" en Windows?

¿A qué otros programas se les permite actuar de esta manera?

Los que están definidos en esta rama de registro:

SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy

Tanto en su versión de LocalMachine como de CurrentUser. La mayoría de las extensiones y plugins de Internet Explorer necesitan de estas políticas de elevación para poder funcionar cómodamente. Si no fuese así, muchas de estos programas integrados en el navegador, esperarían confirmación cada vez que son ejecutados.

Así que si la rama "Policy" del programa "broker" tiene el valor 3, una instancia del programa que se ejecute con integridad "baja" podrá invocarlo de forma silenciosa (sin que apareciese el diálogo) y manejará la petición en modo de integridad "medio"... lo que supone un peligro. Otras opciones de ejecución de estos programas "brokers" son: el valor 0, que impide que sea lanzado; el valor 1 que haría que se lanzase el proceso desde Internet Explorer siempre con  nivel "bajo" sin preguntar; y el nivel 2 que lanzaría el programa con nivel "medio" preguntando.

Una buena parte del adware que se instala en forma de barra en Internet Explorer, también se introduce en esa rama del registro para ejecutarse de forma transparente.

MICBypassCheck

Sergio de los Santos creó una pequeña herramienta (no demasiado elaborada estéticamente) que, simplemente, recorre esa lista de programas y muestra de forma cómoda sus políticas. Un código de colores ayuda a diferenciar qué política tiene cada programa. Además, marcará en rojo las rutas a programas que no existen. Por ejemplo, ciertos programas desinstalados pueden "olvidar" el eliminar esa rama. Estos pueden ser eliminados sin problemas. El programa también permite grabar un fichero con la información.


Ha sido programado en C# por Sergio de los Santos y  necesita .NET 4 para funcionar.

Está disponible desde:http://hispasec.com/micbypasscheck/micbypasscheck.exe

Por cierto, durante su elaboración se descubrió algo muy curioso:http://blog.hispasec.com/laboratorio/411

Fuente:
Por Sergio de los Santos
htp://hispasec.com
Twitter: @ssantosv




Otras noticias de interés:

Microsoft anuncia nuevo software de seguridad
El gigante informático Microsoft anunció sus planes para lanzar a mediados del año un software que permitirá a las compañías mantener un control mucho más estricto sobre los documentos internos....
Implementación nativa de Ogg Vorbis y Theora en Firefox 3.1
El último binario de Shiretoko (nombre en clave de desarrollo de Firefox 3.1) ya tiene disponible una funcionalidad esperada y muy bienvenida: la implementación de las etiquetas y de la especificación de HTML5 que permitirán a los...
Los piratas informáticos se sirven del motor de Google
Según un estudio realizado por Symantec, entre marzo y abril, una media de tres de cada diez búsquedas realizadas con el motor de Google contenían al menos una URL maliciosa entre los primeros 70 resultados....
Vulnerabilidad en Adobe Reader y Acrobat (mailto)
Adobe ha reconocido una vulnerabilidad crítica en Adobe Reader y Acrobat, anunciadas extraoficialmente hace varias semanas (ver Relacionados). La vulnerabilidad afecta solamente a Windows XP con Internet Explorer 7 (Windows Vista no es a...
El 96% de los desarrolladores ignora los estándares web
Según investigación realizada por Opera Software, la gran mayoría de los desarrolladores web sencillamente ignora los códigos estandarizados. Solo el 4% cumple fielmente los estándares de W3C....
IBM amenaza con abandonar la ISO por el caso OOXML
El gigante azul ha amenazado con abandonar los organismos responsables de normalización, por su actuación ante las irregularidades denunciadas en la controvertida estandarización por la vía rápida del formato de documentos de Microsoft OOXML, y ...
Alertan sobre virus informático citibank
El correo que contiene el virus llega con el remitente de Citibank Accounting y la dirección de una liga supuestamente de la misma institución. ...
Forma simple de probar los ordenadores cuánticos
Físicos de Canadá han inventado una nueva forma de probar los componentes ópticos que podrían algún día usarse para construir ordenadores cuánticos. Afirman que su técnica es mucho más simple que las pruebas convencionales porque usa una luz...
La distribución Linux Fedora tiene problemas
El día 14 próximo pasado el Equipo de Infraestructura del proyecto Fedora envió un mensaje a su lista de correo de anuncios diciendo que estaban investigando un asunto misterioso en sus sitemas y que ese proceso podía resultar en una disrupció...
EL site de la Universidad Rafael Urdaneta ha sido hackeada!
La site de la Universidad Rafael Urdaneta en Venezuela fue victima de uno de nuestros usuarios conocido en el mundo under como Blackcat....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • modo
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • protegido
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • uso
  • utilidad
  • vaslibre
  • vigilar
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra