Vulnerabilidad Drag-and-Drop en Internet Explorer

Publicamos los detalles de una vulnerabilidad, considerada crítica, que afecta a Internet Explorer en sus versiones 5.01, 5.5 y 6.0.

Un atacante podría diseñar una página Web que instalara un programa dañino en el sistema del usuario al pinchar en un objeto. Hasta el momento no hay parche para corregir el problema, los sistemas Windows XP con Service Pack 2 instalado también son vulnerables.

En un escueto mensaje en la lista Full-Disclosure se ha publicado la prueba de concepto, disponible en la dirección: http://www.malware.com/wottapoop.html

Accediendo a dicha dirección con Internet Explorer aparecerán dos líneas rojas y una pequeña imagen a la izquierda (un “smile” aplaudiendo). Si pinchamos en la imagen y, sin dejar de presionar, arrastramos y soltamos entre las dos líneas rojas (“Drag-and-Drop”, arrastrar y soltar), se habrá instalado en nuestro sistema un ejecutable, “malware.exe”, en la carpeta de Inicio, de forma que cada vez que iniciemos una sesión en el sistema el programa se ejecutará.

Para ver su efecto podemos, por ejemplo, reiniciar el sistema. En esta ocasión el ejecutable “malware.exe” es una pequeña demo que al ejecutarse simula unas llamas, como si nuestra pantalla estuviera ardiendo (pulsando cualquier tecla desaparecerá). La desinstalación del ejecutable pasa por su eliminación de la carpeta de Inicio.

En lugar de una demo inofensiva, un atacante podría haber introducido un virus o un troyano que le permitiera controlar el sistema de forma remota. También podría diseñarse un script para explotar la vulnerabilidad de forma más sencilla, sin necesidad de arrastrar y soltar, aún necesitando la interacción del usuario.

La vulnerabilidad, derivada de una falta de comprobación y/o aviso a la hora de arrastrar y soltar contenidos entre Internet y el sistema local, no tiene de momento respuesta por parte de Microsoft. Las soluciones para prevenir un potencial ataque basado en esta vulnerabilidad pasan por desactivar la Secuencia de comandos ActiveX en la configuración de Internet Explorer, cambio que podría provocar que algunos sitios Web no se visualicen de forma correcta.

En su defecto, se pueden utilizar otros navegadores que no presentan la vulnerabilidad, como Firefox o similar.