FALLO EN HOTMAIL Y YAHOO PERMITE LA EJECUCION DE CODIGO EN EL CLIENTEEl pasado día 23, la empresa israelita especializada en seguridad Greymagic hizo público un error que afectaba a dos de los grandes proveedores de correo vía web en Internet. Los servicios de correo web Hotmail (que pertenece a Microsoft) y Yahoo se veían afectados por un fallo en su programación que permitía a un atacante enviar un correo especialmente formado que ejecutaría código arbitrario en la máquina desde donde se consultara el correo.
Greymagic es una empresa que desde hace años, nos sorprende con nuevos fallos de seguridad en productos y protocolos conocidos. En esta ocasión, ha demostrado que la tecnología de filtrado de contenido de Hotmail y Yahoo es ineficaz ante una especial manipulación del protocolo HTTP, y que un atacante tan solo tendría que enviar un correo con códigos ejecutables ocultos para adueñarse de la máquina en cuestión o robar las contraseñas que necesite.
Uno de los requisitos para que esta vulnerabilidad sea reproducible, es que la víctima consulte el correo con el navegador Internet Explorer, que domina más del 90% del mercado. Por ello, y debido a la popularidad de estos servicios y del navegador, Greymagic no dudó en calificar el problema de "severo" debido a las potenciales consecuencias que pudiese ocasionar.
La compañía de seguridad se puso en contacto con Hotmail, que solucionó el problema a las pocas horas, mientras que todo intento por alertar a Yahoo resultó infructuoso, por lo que a día de hoy el portal el vulnerable. Este tipo de correos vía web son muy utilizados entre los internautas, por la comodidad e independencia del sistema que permiten.
Son las estaciones de trabajo en redes corporativas las que más se ven afectadas por este problema. La posibilidad de que los empleados naveguen y consulten su correo web desde su puesto de trabajo, vuelve vulnerable a la máquina desde donde se consulta, y por ende, a toda la red corporativa, por muy protegidos que se encuentren sus servicios externos. Son cada vez más los atacantes que prefirieren este tipo de embestidas para colarse en las LAN corporativas, en vez de enfrentarse a cortafuegos y servidores externos. Tan solo una buena política de restricción de contenido potencialmente peligroso, a través de un servidor interno de filtrado, puede mantener a salvo la red.
Más información y referencias:
Remotely Exploitable Cross-Site Scripting in Hotmail and Yahoo.
http://www.greymagic.com/security/advisories/gm005-mcSergio de los Santos
www.forzis.comFuente Asociación Internautas
