Inicio / Alerta Temprana / Avisos Seguridad / Exploit aprovecha vulnerabilidad ya corregida de Internet Explorer 7

Exploit aprovecha vulnerabilidad ya corregida de Internet Explorer 7

Fecha de publicación: 
18/02/2009
Importancia: 
3 - Media
Recursos afectados: 

Microsoft Internet Explorer 7

Descripción: 

Varias fuentes especializadas informan sobre la explotación activa de un exploit que aprovecha una vulnerabilidad ya corregida de Internet Explorer 7 para ejecutar código en la máquina atacada. Este tipo de ataques se denomina Drive-in Download.

Impacto: 

Permite la ejecución remota de comandos en el ordenador infectado, y otros posibles efectos que aún no se han determinado.

Solución: 

Instalar las actualizaciones documentadas en el Boletín de seguridad de Microsoft MS09-002. En el boletín de seguridad se trata todo lo relativo a las actualizaciones, por lo que se recomienda a los administradores consultarlos y testearlos para evitar posibles efectos adversos. Los administradores deberían considerar usar herramientas de actualizaciones automáticas como Windows Server Update Services (WSUS).

Mantener el software antivirus actualizado para evitar y/o detectar la infección.

Controlar de forma exhaustiva la ejecución de controles ActiveX. Configurar las opciones de seguridad del navegador de forma que, como mínimo, nos pregunte antes de ejecutar cualquier control ActiveX.

Detalle: 

La infección puede comenzar bien por visitar una página Web que nos descarga un script sin que nos percatemos de ello, bien por la llegada de un fichero .DOC infectado con un script, detectado como XML_DLOADR.A, o bien como Exploit.MSWORD.K.

En ambos casos, el script contiene un objeto ActiveX que se conecta a una página Web que tiene código HMTL malicioso, desde la que descarga un fichero detectado como HTML_DLOADER.AS.

El exploit  aprovecha la vulnerabilidad CVE-2009-0075 ya solucionada en la última actualización de Microsoft de Febrero del 2009 (MS09-002). Mas información acerca del proceso de infección en el análisis de McAfee.

Según diversas fuentes el fichero ejecutable que se descarga es una biblioteca de enlace dinámico (DLL) que exporta 5 entradas:

  • LFFree – Borra entradas del registro que corresponden al inicio.
  • LFInit – Fija valores en entradas del registro, correspondientes al inicio.
  • LFService - CC Hilo de comunicaciones (Se conecta con jiaozhu100.9966.org por el puerto 443)
  • LFShutdown – Devuelve un 0
  • LFStartup – Llama a LFInit, entonces comprueba la versión del sistema operativo e inyecta código en iexplore.exe.

La shell remota se implementa ejecutando el comando cmd.exe, creando un filtro nombrado, y filtrando las salidas a este filtro. El proceso entontes “readfile(pipe)” y envía todo lo que salga del comando cmd.exe al centro de control. Los comandos de entrada, son enviados al interprete de comandos cmd.exe desde una “recv-routine”

Parece que también tiene posibilidad de hacer capturas de pantalla.

La rutina básica de la rutina de comunicaciones del centro de control es obtener:

  • Información local.
  • Información del ordenador.
  • Nombre de usuario.
  • Sistema operativo.
  • Espacio libre en el disco.
  • Información de la CPU

Cuando se conecta a nuestro sistema:

  • Enviar comandos y manejar las respuestas recibidas.
  • Crear el hilo del intérprete de comandos.

El intérprete de comandos realiza

  • Captura de pantalla.
  • Enumeración de procesos.
  • Shell remota.
  • Gestor de ficheros.