Inicio / Alerta Temprana / Avisos Seguridad / 0-day en Microsoft Internet Explorer

0-day en Microsoft Internet Explorer

Fecha de publicación: 
30/12/2012
Importancia: 
5 - Crítica
Recursos afectados: 
Internet Explorer 6, 7 y 8
Descripción: 
Se ha descubierto un 0-day en Internet Explorer 8 a raíz de una campaña "Water Hole" contra el sitio web CFR (Council on Foreign Relations)
Solución: 

Actualizado: Microsoft ha publicado un fix-it para corregir esta vulnerabilidad. Su descarga se puede realizar desde la página de soporte.

Otras soluciones:

  • Actualizar a una versión más reciente de Internet Explorer que no sea vulnerable.
Detalle: 

El pasado 27 de Diciembre, el sitio web Council on Foreign Relations fue comprometido y utilizado como fuente para alojar contenido malicioso con el que infectar los equipos de los usuarios que visitaran dicha web (técnica recientemente apodada como Water Hole). Para ello se utilizó un exploit no conocido hasta el momento que permite ejecutar código, debido a una vulnerabilidad de tipo use-after-free, en versiones de Internet Explorer 8 e inferiores.

Según las investigaciones de FireEye el código javascript malicioso alojado en la web comprobaba el lenguaje utilizado por el navegador para lanzar o no el mismo contra el usuario. En el caso de estar configurado con lenguaje ingles, chino, japonés, coreano o ruso el exploit era ejecutado.

La forma de inyectar código en el navegador se realizaba por medio de un fichero flash malicioso (today.swf), el cual generaba un heap spray con el que ejecutar cierto payload.

Aunque todavía se están investigando los hechos actualmente no existe un parche para dicha vulnerabilidad por lo que es importante tomar medidas preventivas para evitar ser infectado. La gente de Metasploit acaba de incorporar dicho exploit a su framework; puede verse una prueba de concepto desde el blog del investigador de seguridad Eric Romang.

Para entender este tipo de vulnerabilidades así como los métodos de explotación utilizados se recomienda la guía de seguridad "Software Exploitation" publicada por INTECO.