Avisos 02 de January, 2013

Vulnerabilitat 0-day a Microsoft Internet Explorer 6,7,8

 

En les últimes hores Microsoft ha publicat una vulnerabilitat de dia zero (0-day) pel seu programari Internet Explorer. Aquesta vulnerabilitat s'està explotant activament per grups de criminals cibernètics i existeix exploit públic. Les dades analitzades fins ara indiquen que es pot executar codi arbitrari de manera remota en sistemes Windows amb les versions de navegador 6,7,8 amb totes les actualitzacions instal·lades.

 

Impacte
 
Execució remota de codi.
 
Productes afectats
 
Microsoft Internet Explorer 6, 7, 8.
 
Solució
 
La vulnerabilitat actualment és de tipus dia zero (0-day), és a dir el fabricant no ha publicat cap pegat o actualització per solucionar-la, les versions Internet Explorer 9 i 10 no estan afectades.
 
Pel fet que el codi del navegador Internet Explorer s'utilitza embegut en múltiples aplicacions, simplement deixar d'utilitzar-lo com a navegador principal per obrir pàgines web pot no ser una mesura suficient.
 
Microsoft ha ofert algunes mesures de mitigació en el seu avís de seguretat:
 
La mesura més recomanada és desplegar l'eina EMET (Enhanced Mitigation Experience Toolkit), que preveu l'explotació i no hauria d'afectar la usabilitat dels llocs web.
Establir el nivell de seguretat a "Alt" a les zones "Internet" i "Intranet local", per bloquejar els Controls ActiveX i les seqüències d'ordres actives (Active Scripting) en aquestes zones. Això evita l'explotació però podria afectar la usabilitat, de manera que els llocs de confiança hauran d'afegir a la zona "Llocs de confiança" d'Internet Explorer.
Configurar Internet Explorer per preguntar a l'usuari cada vegada que una pàgina web vulgui executar seqüències d'ordres actives o desactivar les seqüències d'ordres actives en les zones Internet i Intranet Local.
 
Detall
 
La vulnerabilitat ha estat descoberta per la firma de seguretat FireEye, mitjançant la gestió d'un incident de compromís (Council on Foreign Relations). L'estudi del codi maliciós utilitzat per a realitzar el compromís, posa al descobert el coneixement i l'explotació activa d'aquesta nova vulnerabilitat a Internet Explorer.
 
El vector d'explotació es l'aprofitament d'un objecte eliminat a memòria de tipus CDoc que conté un objecte de tipus CDwnBindInfo, aquest alliberament no es realitza de manera adequada, no elimina el punter relacionat. Aquest estat pot ser utilitzat per a realitzar una crida maliciosa a un espai invàlid de memòria.
 
Aquesta vulnerabilitat s'està explotant activament mitjançant Adobe Flash i Java, que proporcionen el mitjà tècnic necessari per la seva explotació.
 
Microsoft ha publicat l'avís de seguretat 2794220 per oferir informació sobre la vulnerabilitat.
L'equip de desenvolupament de Metasploit ha publicat un exploit funcional per aprofitar-se de la vulnerabilitat. És d'esperar que en breu els principals kits d'explotació s'actualitzin amb mòduls per utilitzar-la.
 
Referències
 
Avís de seguretat de Microsoft
http://technet.microsoft.com/en-us/security/advisory/2794220
Informació al bloc de seguretat FireEye
http://blog.fireeye.com/research/2012/12/council-foreign-relations-water-hole-attack-details.html
Publicat a: Avisos