En los últimos días se ha identificado un exploit 0-day que afecta a Internet Explorer 9 y 10. Microsoft ha confirmado el problema y ha publicado un aviso con un parche temporal (en forma de Fix-It) hasta la publicación de la actualización definitiva. El desarrollo del ataque y el análisis de la vulnerabilidad dejan muchos puntos de interés.
Las compañías FireEye y Symantec han colaborado en la investigación del ataque, detectado el pasado 11 de febrero por compañía FireEye al identificar un exploit 0-day que estaba siendo aprovechado desde el sitio de veteranos de guerras extranjeras de los Estados Unidos (vfw.org, Veterans of Foreign Wars). 
Mientras el ataque estaba activo, los visitantes de vtw.org cargaban el iframe insertado por los atacantes que mostraba por detrás una segunda página comprometida (alojada en aliststatus.com) El iframe img.html descargaba un archivo Flash malicioso («tope.swf«) que explotaba la vulnerabilidad del navegador. Symantec detecta el Iframe malicioso como Trojan.Malscript y el swf como Trojan.Swifi.El Flash al explotar la vulnerabilidad, provocaba otra descarga desde el dominio aliststatus.com para iniciar los pasos finales del ataque. Primeramente descargaba el archivo gráfico «erido.jpg» (en formato .png) que contenía diversos binarios embebidos que eran extraídos por código shell ejecutado por el SWF. Los binarios incluidos eran «sqlrenew.txt» (que realmente ocultaba una dll) y «stream.exe» (detectado como Backdoor.Winnti.C o Backdoor.ZXShell).
Por último, el swf entonces se encargaba de cargar la dll maliciosa, la cual por su parte lanzaba el proceso «stream.exe» con la carga maliciosa final.
Según las investigaciones de Symantec se sugiere una conexión entre este ataque y otros realizados por el grupo conocido como Hidden Lynx. Los datos indican el uso de la misma infraestructura empleada por dicho grupo para otros ataques. Según FireEye, el ataque residía en una estrategia orientada al compromiso del personal militar estadounidense
Microsoft ha confirmado la vulnerabilidad, con CVE-2014-0322, que afecta a las versiones 9 y 10 del navegador Internet Explorer. La firma de Redmond ha publicado un aviso, en el que ofrece contramedidas e información para por lo menos de forma temporal prevenir ser afectados por este problema.
Se ha bautizado al parche, en forma de Fix It, como «MSHTML Shim Workaround«que se encuentra disponible desde
Como medidas adicionales se recomienda la instalación de la versión 11 del navegador (o usar otro navegador), que no se ve afectado por el problema, así como el uso de la tecnología EMET (Enhanced Mitigation Experience Toolkit).
Más información:
Microsoft Security Advisory (2934088)
Vulnerability in Internet Explorer Could Allow Remote Code Execution
Operation SnowMan: DeputyDog Actor Compromises US Veterans of Foreign Wars Website
Emerging Threat: MS IE 10 Zero-Day (CVE-2014-0322) Use-After-Free Remote Code Execution Vulnerability
Fix it tool available to block Internet Explorer attacks leveraging CVE-2014-0322
Antonio Ropero
Twitter: @aropero
Deja un comentario