Categories: SeguridadVirus

Vulnerabilidad Drag-and-Drop en Internet Explorer

Un atacante podría diseñar una página Web que instalara un programa dañino en el sistema del usuario al pinchar en un objeto. Hasta el momento no hay parche para corregir el problema, los sistemas Windows XP con Service Pack 2 instalado también son vulnerables.

En un escueto mensaje en la lista Full-Disclosure se ha publicado la prueba de concepto, disponible en la dirección: http://www.malware.com/wottapoop.html

Accediendo a dicha dirección con Internet Explorer aparecerán dos líneas rojas y una pequeña imagen a la izquierda (un “smile” aplaudiendo). Si pinchamos en la imagen y, sin dejar de presionar, arrastramos y soltamos entre las dos líneas rojas (“Drag-and-Drop”, arrastrar y soltar), se habrá instalado en nuestro sistema un ejecutable, “malware.exe”, en la carpeta de Inicio, de forma que cada vez que iniciemos una sesión en el sistema el programa se ejecutará.

Para ver su efecto podemos, por ejemplo, reiniciar el sistema. En esta ocasión el ejecutable “malware.exe” es una pequeña demo que al ejecutarse simula unas llamas, como si nuestra pantalla estuviera ardiendo (pulsando cualquier tecla desaparecerá). La desinstalación del ejecutable pasa por su eliminación de la carpeta de Inicio.

En lugar de una demo inofensiva, un atacante podría haber introducido un virus o un troyano que le permitiera controlar el sistema de forma remota. También podría diseñarse un script para explotar la vulnerabilidad de forma más sencilla, sin necesidad de arrastrar y soltar, aún necesitando la interacción del usuario.

La vulnerabilidad, derivada de una falta de comprobación y/o aviso a la hora de arrastrar y soltar contenidos entre Internet y el sistema local, no tiene de momento respuesta por parte de Microsoft. Las soluciones para prevenir un potencial ataque basado en esta vulnerabilidad pasan por desactivar la Secuencia de comandos ActiveX en la configuración de Internet Explorer, cambio que podría provocar que algunos sitios Web no se visualicen de forma correcta.

En su defecto, se pueden utilizar otros navegadores que no presentan la vulnerabilidad, como Firefox o similar.

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago