Tan solo una semana después de publicar sus boletines de seguridad mensuales, Microsoft se ha visto obligada a lanzar un parche de seguridad fuera de ciclo debido a una vulnerabilidad crítica en el navegador Internet Explorer, la cual estaba siendo explotada activamente por los ciberdelincuentes.

Descripción de la vulnerabilidad

Esta vulnerabilidad (con el identificador CVE-2015-2502) afecta a todas las versiones soportadas de Internet Explorer, que van de la 7 a la 11. Los usuarios del nuevo navegador Microsoft Edge no se verían afectados, según los datos publicados hasta el momento.

El fallo de seguridad estaría provocado por la forma en la que Internet Explorer almacena objetos en memoria. De esta forma, si un usuario visitase una página web especialmente diseñada o abriese un correo electrónico con contenido HTML malicioso, un atacante podría ejecutar código remotamente.

Este tipo de vulnerabilidades son consideradas de las más graves, ya que la intervención necesaria del usuario es mínima y tan solo se necesita que se visite una web o se abra un correo sin tener que descargar y ejecutar un archivo de forma manual.

Aunque Internet Explorer no sea nuestro navegador por defecto, es necesario que apliquemos este parche cuando antes, puesto que algunos de sus componentes pueden ser utilizados por ciertas aplicaciones como Microsoft Office.

Vectores de ataque

Los investigadores de la empresa Qualys, quienes descubrieron que esta vulnerabilidad estaba siendo explotada activamente, han identificado una serie de mecanismos usados por los ciberdelincuentes para aumentar el número de víctimas potenciales que acceden a webs maliciosas, y que incluyen:

  • Almacenar el exploit en sistemas de anuncios online, que son usadas posteriormente por webs legítimas (malvertising).
  • Obtener el control de webs legítimas como blogs aprovechando vulnerabilidades en el servidor que almacena estas webs o, simplemente, aprovechándose de contraseñas débiles.
  • Preparando sitios webs específicos para este tipo de ataques y manipulando los resultados de los motores de búsqueda (Black Hat SEO).
  • Envío de un enlace al sitio web malicioso usando el correo electrónico o programas de mensajería.

Mitigando el alcance de la vulnerabilidad

Una vez que esta vulnerabilidad ya se ha hecho pública, es de esperar que aquellos exploit kits que no la estuviesen utilizando la empiecen a integrar en base de datos y desarrollen exploits específicos para ella. Esto significa que es muy probable que veamos un incremento en el uso de esta vulnerabilidad durante las próximas semanas, por lo que resulta esencial actualizar cuanto antes.

Microsoft ha publicado el boletín de seguridad con el parche correspondiente y lo ha lanzado a través de su servicio Windows Update, por lo que la mayoría de usuarios deberían tenerlo ya disponible para su descarga.

En caso de que no se quiera instalar aún esta actualización, se puede usar el “Kit de herramientas de experiencia de mitigación mejorada” (EMET) para mitigar los posibles ataques que nos podamos encontrar.

Conclusión

Cada vez que Microsoft publica un boletín de seguridad fuera de su ciclo habitual es porque el riesgo para los usuarios es elevado, por lo que recomendamos instalarlo cuanto antes.

No obstante, si Microsoft cumple sus promesas, es más que probable que dentro de poco tiempo dejemos de esperar a ver publicadas estas actualizaciones de seguridad cada mes y se lancen tan pronto como estén disponibles, algo que ayudaría a reducir la ventana de exposición a ataques de millones de usuarios de todo el mundo.