Husmeando MIME

Durante los últimos meses, investigadores han visto un pequeño número de intentos de phishing que intentando aprovecharse de una característica de versiones antiguas de IE denominada MIME Sniffing. Es un débil intento de eludir filtros de spam y phishing, teniendo un vínculo no-HTML en un correo electrónico.

Francamente es un ataque bastante estúpido. Pero algo interesante de observar.

Básicamente, un phisher se aprovecha de una vulnerabilidad en el IE desde la version 4 a la 7, en la cual se puede hacer que el servidor web le diga al navegador que el tipo de contenido es un tipo de archivo en particular (jpg,png, o gif), pero que en realidad trae una página HTML (o cualquier otra cosa).

Lo que pasa es que el IE está "corrigiendo" lo que asume que es un errir. La técnica es explicada en detalle en este artículo de Heise (gracias DJ).

Hoy, vi un phish interesante, con la siguiente dirección URL:

acceghsh.nxt.ru/img/6.jpg?nin.ey.it/ws/e$ISAPI.dll?Sign&ru=http%3A%2F%2Fwww¬.it%2F

O de forma más sencilla,

acceghsh.nxt.ru/img/6.jpg

(la cadena depues del ? es solo basura hecha para parecer una cadena de consulta).

De modo que, usando una herramienta sencilla como web-sniffer para ver que está pasando aquí:

Como se puede ver en la parte superior de la pantalla, el servidor le está diciendo al navegador que eso es un archivo JPG, pero cuando miramos el contenido, es HTML.

Y el IE7 lo presentará como HTML, porque asume que el servidor web cometió un error, y entonces corrije el "error":

Ingenioso, ¿eh?

Echemos un vistazo a la misma página en Firefox:

Toda esto de MIME sniffing ha sido manejando en el IE8. Son las versiones antiguas de IE las que muestran incorrectamente la página.

Traducción exclusiva de Segu-info: Raúl Batista
Autor: Alex Eckelberry
Fuente: Blog Sunbelt


Traducción by Raul Batista is licensed under a Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5 Argentina License.

Suscríbete a nuestro Boletín