Avisos 25 de September, 2012

Butlletí de seguretat fora de cicle de Microsoft Internet Explorer

 

Microsoft ha publicat un butlletí crític de seguretat fora del seu cicle habitual (Microsoft Security Bulletin MS12-063), amb la finalitat de corregir la vulnerabilitat de tipus 0-day associada al programari Internet Explorer.

Impacte
 
Execució remota de codi.
 
Productes afectats
 
Microsoft Internet Explorer 6, 7, 8 i 9
Internet Explorer 10 NO està afectat.
Internet Explorer en Windows Server 2003, 2008 i 2008 R2 no és vulnerable per defecte, perquè se executa en un mode restringit (Enhanced Security Configuration).
La vulnerabilitat no és explotable a través de la visualització d'arxius HTML a Microsoft Outlook, Outlook Express o Windows Mail, perquè aquest contingut s'obre per defecte en la zona de "Llocs restringits".
 
Solució
 
L'actualització publicada pot descarregar-se a través del servei Windows Update.
 
Detall
 
La vulnerabilitat ha estat descoberta mitjançant l'anàlisi de fitxers trobats, en un servidor utilitzat pel grup criminal conegut com a "Nitro", relacionats amb la recent vulnerabilitat al programari Java.
El vector d'explotació original és l'execució d'arxius tipus Adobe Flash (.SWF) que tindria com a objectiu només Internet Explorer 7,8 sobre Windows XP 32 bits.
Investigacions paral•leles indiquen que la vulnerabilitat podria ser molt similar a la vulnerabilitat solucionada anteriorment a Internet Explorer (CVE-2012-0171), que afectava el tractament d'objectes en memòria. El proveïdor Rapid7 està actualment desenvolupant un mòdul d'explotació per al programari Metasploit, que s'espera sigui publicat en breu.
No es tenen notícies de moment respecte una possible explotació a gran escala. Tanmateix, algunes informacions a la xarxa indiquen que les mostres analitzades descarregarien el troià Poison Ivy, després d'una explotació amb èxit.
 
18/9/2012:
 
Microsoft ha publicat l'avís de seguretat 2757760 per oferir informació sobre la vulnerabilitat.
L'equip de desenvolupament de Metasploit ha publicat un exploit funcional per aprofitar-se de la vulnerabilitat. És d'esperar que en breu els principals kits d'explotació s'actualitzin amb mòduls per utilitzar-la.
Segons el fabricant de Metasploit, encara que la vulnerabilitat resideix a Internet Explorer, és necessari utilitzar tècniques addicionals per saltar-se la aleatorització de memòria (ASLR) que s'implementa en Windows Vista i 7 com a mitigació d'aquest tipus de vulnerabilitats. Això es pot fer mitjançant diversos connectors de navegador (Java, Adobe Flash) i altres llibreries (Microsoft Visual C runtime library).
En el cas de Windows XP, els desenvolupadors de l'exploit descobert originalment utilitzaven Adobe Flash per a realitzar una tècnica anomenada heap spray, però no cal tenir aquest connector instal•lat per explotar la vulnerabilitat.
 
Referències
 
Nou 24/09/2012: Butlletí Critic de seguretat de Microsoft (ms12-063)
https://technet.microsoft.com/en-us/security/bulletin/ms12-063
 
18/9/2012: Avís de seguretat de Microsoft
http://technet.microsoft.com/en-us/security/advisory/2757760
 
18/9/2012: Informació al bloc del Centre de Resposta de Seguretat de Microsoft
http://blogs.technet.com/b/msrc/archive/2012/09/17/microsoft-releases-security-advisory-2757760.aspx
 
Informació al bloc del investigador de seguretat original.
http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet
 
Més informació al bloc del Laboratori d'Alienvault
http://labs.alienvault.com/labs/index.php/2012/new-internet-explorer-zero-day-being-exploited-in-the-wild/