Utilidad para vigilar el uso del Modo Protegido en Internet Explorer

**cejd** · 26-may-2012

El modo protegido de Internet Explorer es, en realidad, el uso de control de integridad aplicado al navegador de Microsoft. Una especie de sandbox. Esta funcionalidad aporta una medida extra de seguridad a Internet Explorer, además de ser, junto a Chrome de los pocos navegadores que la utilizan. Pero en Internet Explorer existe una forma “por diseño” de eludirla. Se ha creado una pequeña herramienta que permite vigilar qué aplicaciones se pueden “saltar” la sandbox.
Desde su versión Vista, Windows implementa MACL (“Mandatory Access Control List”). Todos sus objetos tienen un “nivel de integridad” asociado. Normalmente “medio”. Los objetos (procesos, ficheros, carpetas…) que tengan asociado un nivel de integridad “bajo”, no podrán acceder a niveles superiores (“medio” o “alto”), mientras que los de nivel “medio” o “alto” sí podrán acceder a los objetos definidos con nivel de integridad “bajo”. Esto deja a los procesos o archivos definidos con nivel de integridad “bajo” en una especie de sandbox o entorno de pruebas aislado y seguro, puesto que no pueden acceder a nada con nivel “medio”… o sea, al disco duro.

¿Cómo se definen estos niveles de integridad?

Aunque es una herramienta muy útil, no existe forma gráfica de hacerlo en Windows. Sólo es posible con la utilidad icacls.exe o a través de APIs específicas en los procesos. Tampoco existen demasiados programas que las utilicen de forma predeterminada. Uno de ellos es Internet Explorer, y al hecho de usarlo en sus procesos, Windows lo llama “Modo protegido”.

Pero claro, ¿cómo es posible grabar a disco algo descargado desde el navegador, o realizar cambios en el sistema, si en teoría con el modo protegido el navegador no puede acceder a esa parte? Tanto Chrome como Internet Explorer manejan el concepto de “broker” que es un proceso en modo de integridad “medio”, que siempre se ejecuta y hace de intermediario para que el navegador no se encuentre totalmente aislado. Esto puede suponer un punto de exposición. ¿Quién es “broker” en Windows? ¿A qué otros programas se les permite actuar de esta manera? Los que están definidos en esta rama de registro:

SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy

Tanto en su versión de LocalMachine como de CurrentUser. La mayoría de las extensiones y plugins de Internet Explorer necesitan de estas políticas de elevación para poder funcionar cómodamente. Si no fuese así, muchas de estos programas integrados en el navegador, esperarían confirmación cada vez que son ejecutados, y aparecería un diálogo como este:

Así que si la rama “Policy” del programa “broker” tiene el valor 3, una* instancia del programa que se ejecute con integridad “baja” podrá invocarlo de forma silenciosa (sin que apareciese el diálogo) y manejará la petición en modo de integridad “medio”… lo que supone un peligro. Otras opciones de ejecución de estos programas “brokers” son: el valor 0, que impide que sea lanzado; el valor 1 que haría que se lanzase el proceso desde Internet Explorer siempre con nivel “bajo” sin preguntar;* y el nivel 2 que lanzaría el programa con nivel “medio” preguntando.

Una buena parte del adware que se instala en forma de barra en Internet Explorer, también se introduce en esa rama del registro para ejecutarse de forma transparente.

MICBypassCheck

"Hemos creado una pequeña herramienta (no demasiado elaborada estéticamente) que, simplemente, recorre esa lista de programas y muestra de forma cómoda sus políticas. Un código de colores ayuda a diferenciar qué política tiene cada programa. Además, marcará en rojo las rutas a programas que no existen. Por ejemplo, ciertos programas desinstalados pueden “olvidar” el eliminar esa rama. Estos pueden ser eliminados sin problemas. El programa también permite grabar un fichero con la información."

Spoiler:

Gracias a :Sergio de los Santos Autor del programa

Fuente: Hispasec

**Tururojo** · 26-may-2012

Buena Informacion.

Gracias cejd.

Saludos.

**Hunted** · 26-may-2012

baduser · 26-may-2012

**VJEVans** · 26-may-2012

exelente .. gracias compañero ..

**Abraxas** · 27-may-2012

0.o, gracias por la info

26-may-2012	#2
Tururojo Erudito Ingreso: enero-2012 Ubicación: Barcelona (España) Mensajes: 5.106 Sexo: País: Signo: Agradecido: +10.221	Buena Informacion. Gracias cejd. Saludos. Mi Sabiduria, abarca lo que una gota de Agua, en el Oceano del Conocimiento

26-may-2012	#3
Hunted Erudito Ingreso: junio-2009 Ubicación: S.A. Mensajes: 2.952 Sexo: País: Signo: Agradecido: +6.875	Buena Info!!! Conocimiento: Máximo Poder

27-may-2012	#6
Abraxas Ayudante Frecuente Ingreso: junio-2011 Mensajes: 488 Sexo: País: Signo: Agradecido: +1.238	*0.o, gracias por la info* *"Hay una fuerza motriz más poderosa que el vapor, la electricidad y la energía atómica: la voluntad."* *Albert Einstein*

Temas Similares
Tema	Autor	Foro	Respuestas	Último mensaje
Guía de seguridad Informática	Dante	Seguridad	9	06-abr-2013 12:20
150 millones de licencias vendidas de Windows 7, Windows Live Betas Anunciado	felcon	Windows Vista & 7	15	24-nov-2012 13:03
Adicción a Internet: ¿existe o es un mito?	Abraxas	Off-Topic	6	29-may-2012 05:17
Glosario PSP	Eloy58	Juegos PS2, PS3 & PSP	7	01-feb-2011 17:33

Los siguientes 5 usuarios agradecen a cejd por este mensaje:
Abraxas (26-may-2012), Francisco6812 (29-may-2012), Hunted (26-may-2012), Tururojo (26-may-2012), VJEVans (26-may-2012)

Los siguientes 3 usuarios agradecen a Tururojo por este mensaje:
Abraxas (26-may-2012), cejd (26-may-2012), Hunted (26-may-2012)

Los siguientes 2 usuarios agradecen a Hunted por este mensaje:
Abraxas (26-may-2012), cejd (26-may-2012)

26-may-2012	#4
baduser Banned Ingreso: julio-2009 Ubicación: Mexico City, Capital del Mundo Mensajes: 33.485 Sexo: País: Signo: Agradecido: +70.458

26-may-2012	#5
VJEVans Erudito Ingreso: mayo-2010 Ubicación: Arequipa (Peru) Mensajes: 6.935 Sexo: País: Signo: Agradecido: +10.322	exelente .. gracias compañero ..

Usuarios que han agradecido este mensaje de VJEVans
Abraxas (26-may-2012)

(0 miembros y 1 visitantes)