El pasado sábado 26 de abril, Microsoft dio a conocer una vulnerabilidad de tipo 0-day en su navegador Internet Explorer, la cual podría permitir ejecución de código remoto. Este error afecta a todas las versiones del navegador, desde la 6 hasta la 11.

Esta es la primera vulnerabilidad que no va a corregir para Windows XP, tras el cierre de soporte el pasado 8 de abril.

En un aviso de seguridad, la empresa dio detalles sobre la nueva falla (CVE-2014-1776). La misma está siendo usada en ataques dirigidos, aunque según afirman, las campañas de ataques activas están apuntando a IE9, IE10, IE11.

Internet Explorer es vulnerable a la ejecución remota de código, que reside en la forma en que el navegador obtiene acceso a un objeto en la memoria que se ha eliminado o no fue asignado correctamente, según Microsoft.

El equipo de investigación de la compañía de Redmond está trabajando actualmente con los expertos en seguridad de la compañía FireEye, y han denominado a la investigación “Operación Clandestina Fox”.

En el blog de la consultora FireEye se explica que un atacante podría desencadenar la explotación del ataque a través de una página web maliciosa, a la que la víctima debe acceder con una de las versiones del navegador afectadas. La explotación exitosa de esta vulnerabilidad permite al atacante ejecutar código arbitrario en el navegador, con el fin de obtener los mismos permisos que del usuario víctima.

La falla depende de la carga de un archivo SWF de Flash, que requiere una versión vulnerable de JavaScript en Internet Explorer para activar la falla. El exploit también permite eludir ASLR en Windows(es una técnica de seguridad contra los ataques de desbordamiento de bufer en el sistema operativo); y las protecciones DEP (Data Execution Prevention), una característica de seguridad que ayuda a impedir daños en el equipo, producidos por malware y otras amenazas. Si una aplicación intenta ejecutar código de la memoria de forma incorrecta, DEP lo cierraen el equipo victima explotando el plugin Adobe Flash.

Anteriormente, Adobe había parcheado dos 0-day explotables en Flash Player.

Según el aviso, actualmente no hay disponible ningún parche de seguridad para esta vulnerabilidad. Sin embargo, Microsoft se encuentra actualmente trabajando en una actualización de seguridad para corregirla.

Desde ESET Latinoamérica aconsejamos estar atentos a nuevas actualizaciones que corrijan esta falla y tomar ciertos recaudos para prevenir este ataque:

  • Instalar EMET 4.1, una herramienta gratuita que ayudará a evitar la explotación de esta vulnerabilidad en el software, desarrollada por Microsoft.
  • Cambiar la configuración de la zona de seguridad en Internet para bloquear los controles ActiveX y Active Scripting. La forma de hacerlo es la siguiente:

    Herramientas > Opciones de Internet > Seguridad > Internet > Nivel personalizado > En configuración de Scripting > Desactivar Active Scripting.

    En configuración nivel personalizado de la intranet local > Desactivar Active Scripting.
  • Si usas Internet Explorer 10 o la versión más alta, habilitar el modo mejorado protegido para evitar el ataque al navegador.
  • El ataque es inútil frente a un navegador sin Adobe Flash instalado, se recomienda desactivarlo en caso de tenerlo instalado.
  • Quitar el registro de Vgx.dll (VML parser) de archivos, el cual es responsable de la presentación de código VML (Vector Markup Language) en las páginas web, con el fin de evitar la explotación. Para hacer esto es necesario ejecutar el siguiente comando:

    regsvr32-u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”

Recomendamos además contar con una solución antivirus instalada en el equipo y estar atentos a nuevas actualizaciones que publique Microsoft, para corregir este fallo.

Créditos imagen: ©cocoparisienne/Pixabay