Continuando con la seguridad de los plugins y de los addons iniciada por mi compañero Pedro Laguna, con la nueva administración de add-on disponible en Internet Explorer 8 , Microsoft nos brinda una protección añadida, transparente pero útil son los KILLBITS. Lejos de ser asesinos de bits, son registro para intentar corregir el factor humano y así ayudar al usuario a su protección. Estos registros discrimina y no permiten ejecución de complemento conocidos como maliciosos salvaguardando así la instalación realizada por el usuario y avisando de su peligrosidad
Los killbits son registros almacenados en la ruta HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility.
Si habéis programado con objetos y extensiones para office la palabra CLSID os sonara debido a que cada vez que se realza un add-in o complemento para office se da de alta en estos registro, de no darse de alta Microsoft office no lo ejecuta y tras desarrollar nuestro addin realizar un setup nos faltaría las modificaciones para incluirlo en estos registros, pero es muy necesario, la razón si hubiéramos desarrollado un addin malicioso o nuestro addin se cargara siempre en el office y activara acciones al inicio, tendríamos problemas para recuperar el control de nuestro office. Todo esto se lleva al Explorer de la misma manera, pero en ambos tenemos la solución fácil incluir los addin y complemento dentro de estos registros con el registro 400.
Al marcarlo con el registro 400 lo indicamos como deshabilitado, como un elemento inseguro, con ello el Explorer no lo va a ejecutar creando una base de datos de plugins maliciosos.
Pero claro conociendo la capacidad para cambiar un plugin y solamente por el nombre parece una forma muy sencilla de saltarse esta protección, y de nuevo delegar todo en un eslabón complicado como es el factor humano y su capacidad para ejecutar instaladores, no parece una solución robusta para entornos de seguridad. ¿Cuál es la solución? La existencia de otra carpeta con los hashes de los plugins maliciosos
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\restriction polices\hashes
Estas son las firmas de los complemento perjudiciales para nuestro ordenador, se ven que son menores que las anteriores la razón es mucho solo cambian el nombre o parte del fichero peor no la parte sobre la que se realiza la firma generando solo copias de un plugin maliciosos pero sin alterar su hash principal su forma de actuar.
Con estos métodos se intenta que el sistema operativo colabore con el usuario para protegerse, a pesar de intentar instalar software malicioso en sus equipos. Además aun falta un apartado como son tener los equipos actualizados tanto con los servicios como de las aplicaciones de nuestros equipos.
Con respecto a esto se ha generado una nueva actualización que si tenemos correctamente configurado los servicios de WSUS, Windows update y configuradas la políticas para su replicación en los equipos tras realizar las pruebas podremos mantener nuestra línea de defensa ante los nuevos avances.
Seguiremos contando un poco mas de los kill bits y sus funcionamiento.
Un saludo!
Enviado
ago 07 2009, 11:06
por
Nacho Sánchez-Beato