Fuente: SearchSecurity.com

BOSTON – La funcionalidad de Microsoft Windows que permite la compatibilidad con versiones anteriores puede permitir a un atacante eludir restricciones de archivo o defensas de seguridad de la red como los sistemas de detección de intrusos, dijo hoy un investigador de seguridad en SOURCE Boston 2010.

Dan Crowley, un ingeniero de soporte técnico de Core Security Technologies, presentó varios medios de eludir estas protecciones en las versiones de Windows de cuatro servidores Web: Nginx; Cherokee; Mongoose, y LightTPD. El más evidente es mediante el uso de alias 8.3 en Windows. Estos alias son alias de compatibilidad con DOS que se forman cada vez que se crea un archivo en Windows. Ambos nombres de archivo pueden ser accedidos, aunque no son iguales.

La vulnerabilidad de seudónimo 8.3 del sistema de archivos fue reportada en febrero por Core Security.

Los alias 8.3 son nombres de archivos de ocho caracteres seguido de un nombre de extensión del archivo de tres caracteres. En Windows, estos son los seis primeros caracteres de un nombre de archivo, seguido de una tilde, un dígito, un punto y la extensión de archivo (ejempl~1.txt). Todos los demás caracteres en el nombre de archivo son truncados por Windows. Esto aumenta en gran medida la eficacia de los ataques de fuerza bruta, porque el tiempo y los recursos necesarios para adivinar un nombre de archivo se reduciría considerablemente, dijo Crowley. Teóricamente, un atacante podría llamar a un archivo a través de su alias, leer código fuente, manipularlo mediante la subida de malware, y la próxima vez que el archivo sea leído legítimamente el sistema sería comprometido.

Agregó que todas sus pruebas se realizaron en plataformas basadas en Web, pero dijo que cualquier aplicación que acepta datos del usuario también se vería afectada.

“Las aplicaciones hacen un análisis de cadena de las rutas de archivos”, dijo Crowley. “Esto se hace para decidir cómo manejar los archivos, negar el acceso o determinar si la entrada es maliciosa. Estos nombres de archivo alternativo, o incluso mutilados, pueden eludir o romper un montón de cosas. El sistema operativo es el que interactúa con el sistema de archivos, no la aplicación. Debido a esto, hace un análisis basado en cadena y pasa esto al sistema de archivos si está satisfecha con lo que ve, en lugar de pedir al sistema de archivos si esto está correcto.”

Los problemas surgen con las reglas de IDS, por ejemplo, si están configurados para buscar ejemplo.php, ejempl~1.php no sería detectado. Un atacante podría acceder a los archivos o enviar código remoto.

Crowley dice que una técnica de mitigación es deshabilitar el uso de alias 8.3.

Idealmente, dijo, la mejor mitigación es detener la práctica del análisis basado en cadena de las rutas de archivos, reconociendo el impacto en el rendimiento que las otras técnicas impondrían en los sistemas.