Se ha descubierto que una nueva vulnerabilidad del tipo 0-day (identificada por MITRE como CVE-2010-0806) está circulando in-the-wild en Internet. Microsoft ha confirmado la vulnerabilidad 981374 y ha dicho que se encuentra trabajando en la solución.
La vulnerabilidad hace uso de "use-after-free" (puntero de referencia inválida) en la librería iepeers.dll y afecta a las versiones 6 y 7 de Internet Explorer, permitiendo la ejecución de código remoto. Las versiones 5 y 8 no son vulnerables a esta amenaza.
Este exploit fue encontrado inicialmente circulando por Internet en páginas tales como www.pokeradaystar[ELIMINADO].com (un sitio de juegos en línea ya dado de baja) pero se espera que se propague masiva y muy rápidamente debido al tipo de ataque y navegador vulnerable.
Un ataque a un navegador, con la cantidad de usuarios que posee Internet Explorer 6 y 7, es una amenaza muy peligrosa y más teniendo en cuenta que este exploit en particular ya esta disponible en sitios públicos y preparado para ser utilizado con herramientas del tipo point-and-click preparadas para ser utilizadas en su mayoría por usuarios novatos.
Este ataque hace uso de las funciones de navegador y por eso le permite al atacante utilizar técnicas de Drive-by-Download y Download-and-Execute (descargar y ejecutar) desde una web creada con fines maliciosos para descargar malware.
Hasta que la vulnerabilidad se encuentre solucionada, recomendamos utilizar un navegador alternativo o actualizar a la última versión disponible de Internet Explorer. En entornos corporativos también recomendamos estar al tanto de las actualizaciones de Microsoft para aplicar el parche inmediatamente luego de su aparición.
Sin perjuicio de lo antes dicho, los clientes de ESET se encuentran protegidos ya que el motor ThreatSense de todos nuestros productos detectan en forma proactiva los exploits utilizados como JS/Exploit.CVE-2010-0806.A y los payloads (carga dañina) como el troyano Win32/Wisp.A.
Actualización 16/03/2010: Microsoft ha lanzado una solución temporal para deshabilitar los valores por defecto de la librería afectada.
Juan Sacco
Analista de Malware
