domingo, 10 de noviembre de 2013

Nuevo 0-day en Internet Explorer

Se ha anunciado la existencia de una nueva vulnerabilidad 0-day que afecta al navegador Internet Explorer, y que se está explotando de forma activa a través de sitios web maliciosos.

El problema, que ha sido anunciado por la compañía FireEye, se ha detectado en un sitio web de Estados Unidos comprometido, de forma que infecta a cualquier usuario que visita la página maliciosa, mediante un ataque "drive-by download" (en una descarga tipo "drive-by" el sistema se infecta con solo visitar una web que contenga un código malicioso). Para lograr la ejecución de código el exploit aprovecha una nueva vulnerabilidad de fuga de información y otra vulnerabilidad de acceso a memoria fuera de límites.

La fuga de información emplea una interesante vulnerabilidad para recuperar el timestamp (la fecha y hora) de la cabecera PE de msvcrt.dll. El timestamp se envía de vuelta al servidor del atacante lo que le permite determinar la versión de msvcrt.dll y de esa forma elegir el exploit con una cadena ROP específica. Esta vulnerabilidad afecta a Windows XP con IE 8 y Windows 7 con IE 9.

Por otra parte, la vulnerabilidad de acceso a memoria está diseñada para funcionar en Windows XP con IE 7 y 8, y en Windows 7. El exploit detectado ataca a las versiones inglesas del navegador, hay que señalar que se detectó en un sitio estadounidense, pero podría cambiarse de forma sencilla para soportar otros idiomas. Este ataque de acceso a memoria podría evitarse mediante el uso de EMET.

Este 0-day viene a unirse al también detectado recientemente que afectaba a Office. Y apenas días antes de la publicación periódica de los boletines de seguridad, por lo que es más que posible que esta nueva vulnerabilidad no se vea corregida. En cualquier caso, al igual que con el 0-day de Office, se recomienda la instalación de EMET (Enhanced Mitigation Experience Toolkit).

Más información:

New IE Zero-Day Found in Watering Hole Attack


Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario en la entrada