La explotación de vulnerabilidades les brinda a los atacantes la posibilidad de llevar adelante tareas delictivas como la distribución de malware. En este caso en particular la aparición de un nuevo 0-day en el navegador de Microsoft, Internet Explorer, nos ha alertado a todos debido a su criticidad y a la posibilidad de ejecución de código remoto. No es la primera vez que la explotación de vulnerabilidades críticas de Internet Explorer son utilizadas para la propagación de malware.

¿Qué fue lo que paso? Bueno, la explicación de la gente del gigante de Redmond la podemos encontrar dentro de su boletín de seguridad, el mismo fue publicado en el Microsoft Security Advisory 2458511.

Pero en otras palabras la vulnerabilidad se basa en la asignación de una cantidad de memoria insuficiente para alojar un conjunto de tags de CSS (Casacading Style Sheets, en español, Hojas de Estilo en Cascada) al parsear un HTML. Esta falla puede ser explotada para sobre escribir el último byte significativo del puntero de una vtable. Así un atacante puede redireccionar a una dirección de memoria específica con un patrón para la ejecución de código malicioso durante el proceso de parsing del HTML.

En asociación a esta vulnerabilidad se encontraron ciertos sitios que contenían código malicioso en los cuales mediante la explotación de esta vulnerabilidad generaban descargas de malware utilizando técnicas de Drive-by-Download. Como ya lo hemos comentado anteriormente en nuestro blog, esta técnica genera la descarga de código malicioso en el equipo del usuario sin el consentimiento y conocimiento de este.

Como era de esperar esta vulnerabilidad crítica afecta a los usuarios del navegador y las versiones afectadas serían mayoritariamente la 6, 7 y 8. Los sitios encontrados comprobarían la versión del Sistema Operativo y Navegador, redireccionan al usuario sin su conocimiento y descargan código malicioso que termina infectando el equipo y recopilando datos del mismo.

El objetivo principal del ataque estaría orientado a empresas alrededor de todo el mundo. Sin embargo la cantidad de usuarios infectados no fue tan alta debido a que muchos no estarían utilizando este navegador.

¿Cómo nos protegemos de estos ataques?¿Cómo nos mantenemos seguros? Son preguntas que muchos de nosotros nos hicimos al momento de conocer esta vulnerabilidad, algunas de nuestras recomendaciones son:

  • El uso del DEP (Data Execution Prevention, en español, Prevención de Ejecución de Datos). El DEP viene activado por defecto en IE8, y se puede activar si el usuario lo desea. Para versiones anteriores lo puede realizar manualmente.
  • Contar con una solución antivirus con capacidades proactivas de detección para minimizar los riesgos.
  • Utilizar la versión beta de Internet Explorer 9, la cual no es vulnerable a este ataque.

Microsoft ya estaría trabajando en el fix correspondiente a esta incidencia el cual sería publicado en las próximas semanas. Mientras tanto hay puesto a disposición una solución temporal para quienes deseen aplicarlo. El mismo no intenta sustituir a ninguna actualización de software.

Más allá de los workarounds disponibles para mantenernos alejados de esta amenaza, creemos que vale la pena remarcar la importancia de mantener nuestro sistema correctamente actualizado, no solo mediante las actualizaciones del sistema operativo en sí, sino también de los otros programas instalados. Como ejemplo puntual podemos tomar la existencia de una gran cantidad de usuarios activos de Internet Explorer 6 en sus sistemas, el uso de un explorador con más de 9 años de antigüedad. Normalmente estos casos se deben a usuarios que no tienen en cuenta la importancia de las actualizaciones de seguridad.

Pablo Ramos
Especialista de Awareness & Research