1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • =?iso-8859-1?q?una-al-dia_=2801/09/2008=29_El_=22secuestro=22_del_porta

    From noticias@hispasec.com@2:341/201.99 to All on Tue Sep 2 18:25:00 2008
    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    -------------------------------------------------------------------
    Hispasec - una-al-día 01/09/2008
    Todos los días una noticia de seguridad www.hispasec.com
    -------------------------------------------------------------------

    El "secuestro" del portapapeles
    -------------------------------

    Desde finales del mes pasado, muchos usuarios están detectando un comportamiento extraño en su portapapeles. A la hora de copiar y pegar cualquier dato, encuentran que siempre aparece almacenada en este
    memoria una misma dirección de Internet, que no recuerdan haber copiado
    nunca. Copian algún dato en su "clipboard", y cuando van a pegarlo esa información ya ha sido modificada y en su lugar se memoriza una URL. No
    parecen estar infectados por malware, en cuanto se visita alguna web el problema reaparece... es solo que su portapapeles ha sido secuestrado.

    Según se admite en una nota publicada por el Equipo de Respuesta ante Incidentes de Seguridad en Productos de Adobe (Adobe Product Security
    Incident Response Team) el problema está causado por una funcionalidad
    en Flash Player que podría ser aprovechada por un atacante remoto para "secuestrar" el portapapeles del sistema, forzando a que devuelva
    siempre una misma cadena.

    El problema se debe a que por medio de la función "setClipboard" de ActionScript (el lenguaje de programación de Adobe Flash) se puede
    modificar (pero no acceder) el contenido del portapapeles. La
    descripción se puede leer en la documentación de Adobe Flash citada a continuación: "El método System.setClipboard() permite a un archivo SWF reemplazar el contenido del portapapeles con una cadena de caracteres en
    texto claro. Esto no supone un riesgo de seguridad. Para proteger contra
    los riesgos que supone que contraseñas y otra información sensible sea
    cortada o copiada de los portapapeles, el método "getClipboard" de
    lectura desde el portapapeles no existe".

    Si se crea un archivo SWF modificado que invoque a esta función
    repetidamente en bucle, cada cierto tiempo se actualizará el contenido
    del portapapeles para forzar que contenga la cadena elegida.
    Independientemente de la aplicación con la que se trabaje, siempre que
    se intente copiar y pegar algún dato, dará como resultado la misma
    cadena una y otra vez mientras el flash esté activo en una web que está
    siendo visitada.

    El ataque (más molesto que peligroso) se está usando para secuestrar el portapapeles, pegando una URL que lleva a una página de un falso
    antivirus que resulta ser malware. En el caso concreto detectado en los
    últimos días, el código ActionScript malicioso venía incrustado en
    anuncios flash alojados en sitios legítimos que tienen un gran tráfico
    de visitas diarias, como Newsweek, Digg y MSNBC.

    Este fallo no es realmente grave. Desde hace muchos años revive de vez
    en cuando la polémica (es una funcionalidad vs. es una vulnerabilidad)
    con respecto a un problema mucho más serio: El acceso al portapapeles
    por parte de funciones de Internet Explorer. Aunque este ataque flash en concreto es independiente del navegador, aun hoy día la configuración
    por defecto de la mayoría de sistemas con Internet Explorer 6 permite de
    forma transparente no solo modificar sino tener acceso al portapapeles.
    El objeto clipboardData (incorporado en la versión 5 de Internet
    Explorer) admite tres métodos para interactuar con los datos del
    clipboard, "getData" para capturar la información, "setData" para
    escribir, y "clearData" para borrar. Ya en 2005 Hispasec publicó una
    prueba de concepto disponible en el apartado de más información.

    También este ataque a través de flash recuerda al que se puso de moda
    hace años, lo que se dio en llamar "secuestro del navegador" que
    consistía en la modificación persistente de la página de inicio de
    Internet Explorer. Mucho malware del momento era capaz de secuestrarla
    con más o menos destreza. Hoy en día es una práctica en desuso.

    Para "liberar" el portapapeles y que vuelva a funcionar de forma normal,
    tan solo hace falta cerrar la pestaña del navegador con la que se está visitando en el sitio web susceptible de contener el flash especialmente manipulado.

    Aviv Raff ha desarrollado una prueba de concepto que carga de forma
    persistente la cadena http://www.evil.com en el portapapeles, disponible
    desde http://raffon.net/research/flash/cb/test.html

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/3600/comentar

    Más información:

    01/09/2005 Datos del portapapeles accesibles desde Internet Explorer http://www.hispasec.com/unaaldia/2504/datos-del-portapapeles-accesibles-desde-internet-explorer

    Adobe Product Security Incident Response Team (PSIRT): Clipboard attack http://blogs.adobe.com/psirt/2008/08/clipboard_attack.html

    Adobe Flash ads launching clipboard hijack attack http://blogs.zdnet.com/security/?p=1733

    Clipboards hijacked in web attack http://news.bbc.co.uk/2/hi/technology/7567889.stm


    Sergio de los Santos
    ssantos@hispasec.com


    Tal día como hoy:
    -----------------

    01/09/2007: El Banco de la India, foco (involuntario) de infección
    http://www.hispasec.com/unaaldia/3235

    01/09/2006: Ejecución de código a través de libTIFF en Sony PlayStation Portable
    http://www.hispasec.com/unaaldia/2869

    01/09/2005: Datos del portapapeles accesibles desde Internet Explorer
    http://www.hispasec.com/unaaldia/2504

    01/09/2004: Nueva variante de Bagle
    http://www.hispasec.com/unaaldia/2138

    01/09/2003: Publicada la invitación para participar en el Hackmeeting 2003
    http://www.hispasec.com/unaaldia/1772

    01/09/2002: Problemas de seguridad en Webmin 0.92 y 0.921
    http://www.hispasec.com/unaaldia/1407

    01/09/2001: Última hora: Nueva y peligrosa versión de Magistr
    http://www.hispasec.com/unaaldia/1042

    01/09/2000: Problemas en la validación de extensiones en Windows
    http://www.hispasec.com/unaaldia/676

    01/09/1999: Los GUIDs y los MetaData en los documentos Microsoft Office (II)
    http://www.hispasec.com/unaaldia/309


    -------------------------------------------------------------------
    Claves PGP en http://www.hispasec.com/directorio/hispasec
    -------------------------------------------------------------------
    Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
    Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
    -------------------------------------------------------------------
    (c) 2008 Hispasec http://www.hispasec.com/copyright
    -------------------------------------------------------------------

    --- SoupGate-DOS v1.05
    * Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)