Avisos 18 de September, 2012

Vulnerabilitat 0-day a Microsoft Internet Explorer (actualitzat)

 

En les últimes hores s'ha publicat en diversos blocs i xarxes socials una possible vulnerabilitat de dia zero (0-day) al programari Internet Explorer que es podria estar utilitzant activament per grups de criminals cibernètics. Aquesta informació no ha estat confirmada per Microsoft i les dades analitzades fins ara indiquen que es podria executar codi arbitrari de manera remota en sistemes Windows amb l'última versió del navegador i totes les actualitzacions instal·lades.

Actualització 18/9/2012: l'equip de desenvolupament de Metasploit ha publicat un exploit funcional per aprofitar la vulnerabilitat. Microsoft, per la seva part, ha llançat un avís de seguretat amb informació sobre l'estat de la investigació i possibles mitigacions.

 

Impacte

Execució remota de codi.

Productes afectats

Actualització 18/9/2012:

·         Microsoft Internet Explorer 6, 7, 8 i 9

·         Internet Explorer 10 NO està afectat.

·         Internet Explorer en Windows Server 2003, 2008 i 2008 R2 no és vulnerable per defecte, perquè se executa en un mode restringit (Enhanced Security Configuration).

·         La vulnerabilitat no és explotable a través de la visualització d'arxius HTML a Microsoft Outlook, Outlook Express o Windows Mail, perquè aquest contingut s'obre per defecte en la zona de "Llocs restringits".

Solució

La vulnerabilitat actualment és de tipus dia zero (0-day), és a dir el fabricant no ha publicat cap pegat o actualització per solucionar-la.

Actualització 18/9/2012: pel fet que el codi del navegador Internet Explorer s'utilitza embegut en múltiples aplicacions, simplement deixar d'utilitzar-lo com a navegador principal per obrir pàgines web pot no ser una mesura suficient.

Microsoft ha ofert algunes mesures de mitigació en el seu avís de seguretat:

·         La mesura més recomanada és desplegar l'eina EMET (Enhanced Mitigation Experience Toolkit), que preveu l'explotació i no hauria d'afectar la usabilitat dels llocs web.

·         Establir el nivell de seguretat a "Alt" a les zones "Internet" i "Intranet local", per bloquejar els Controls ActiveX i les seqüències d'ordres actives (Active Scripting) en aquestes zones. Això evita l'explotació però podria afectar la usabilitat, de manera que els llocs de confiança hauran d'afegir a la zona "Llocs de confiança" d'Internet Explorer.

·         Configurar Internet Explorer per preguntar a l'usuari cada vegada que una pàgina web vulgui executar seqüències d'ordres actives o desactivar les seqüències d'ordres actives en les zones Internet i Intranet Local.

Detall

La vulnerabilitat ha estat descoberta mitjançant l'anàlisi de fitxers trobats, en un servidor utilitzat pel grup criminal conegut com a "Nitro", relacionats amb la recent vulnerabilitat al programari Java.

El vector d'explotació original és l'execució d'arxius tipus Adobe Flash (.SWF) que tindria com a objectiu només Internet Explorer 7,8 sobre Windows XP 32 bits.

Investigacions paral·leles indiquen que la vulnerabilitat podria ser molt similar a la vulnerabilitat solucionada anteriorment a Internet Explorer (CVE-2012-0171), que afectava el tractament d'objectes en memòria. El proveïdor Rapid7 està actualment desenvolupant un mòdul d'explotació per al programari Metasploit, que s'espera sigui publicat en breu.

No es tenen notícies de moment respecte una possible explotació a gran escala. Tanmateix, algunes informacions a la xarxa indiquen que les mostres analitzades descarregarien el troià Poison Ivy, després d'una explotació amb èxit.

Actualització 18/9/2012:

Microsoft ha publicat l'avís de seguretat 2757760 per oferir informació sobre la vulnerabilitat.

L'equip de desenvolupament de Metasploit ha publicat un exploit funcional per aprofitar-se de la vulnerabilitat. És d'esperar que en breu els principals kits d'explotació s'actualitzin amb mòduls per utilitzar-la.

Segons el fabricant de Metasploit, encara que la vulnerabilitat resideix a Internet Explorer, és necessari utilitzar tècniques addicionals per saltar-se la aleatorització de memòria (ASLR) que s'implementa en Windows Vista i 7 com a mitigació d'aquest tipus de vulnerabilitats. Això es pot fer mitjançant diversos connectors de navegador (Java, Adobe Flash) i altres llibreries (Microsoft Visual C runtime library).

En el cas de Windows XP, els desenvolupadors de l'exploit descobert originalment utilitzaven Adobe Flash per a realitzar una tècnica anomenada heap spray, però no cal tenir aquest connector instal·lat per explotar la vulnerabilitat.

Referències

·         Nou 18/9/2012: Avís de seguretat de Microsoft
http://technet.microsoft.com/en-us/security/advisory/2757760

·         Nou 18/9/2012: Informació al bloc del Centre de Resposta de Seguretat de Microsoft
http://blogs.technet.com/b/msrc/archive/2012/09/17/microsoft-releases-security-advisory-2757760.aspx

·         Informació al bloc del investigador de seguretat original.
http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet

·         Més informació al bloc del Laboratori d'Alienvault
http://labs.alienvault.com/labs/index.php/2012/new-internet-explorer-zero-day-being-exploited-in-the-wild/

Publicat a: Avisos