La vulnerabilidad permite ejecutar código arbitrario remoto en el contexto del usuario que ejecute IE 8, y se puede explotar en cualquier sistema operativo que lo tenga instalado. Ha sido utilizada para un reciente ataque contra el departamento de trabajo norteamericano.

Microsoft ha publicado un aviso de seguridad donde advierte a sus usuarios de la existencia de una vulnerabilidad 0-day en la versión 8 de Internet Explorer. El fallo puede ser explotado en cualquier versión del sistema operativo Windows que tenga instalado el navegador, desde XP hasta 2008 en todas sus versiones y arquitecturas. El fallo ha sido descubierto mientras estaba siendo aprovechado por atacantes.

Tiene un impacto de ejecución de código arbitrario de manera remota. Se le ha asignado el identificador CVE-2013-1347.

No existe parche oficial y no existe otra mitigación que la de evitar el uso del navegador hasta que sea solucionada. Teniendo en cuenta que la próxima publicación de parches será el día 14 de mayo y la gravedad de la vulnerabilidad, Microsoft no rechaza publicar parches fuera de ciclo.

Esta vulnerabilidad ha sido descubierta a raíz de un reciente ataque a una web pública del departamento de trabajo norteamericano. Se comprometió una base de datos sobre substancias toxicas y niveles de toxicidad de ciertas instalaciones nucleares del departamento de energía. Los trabajadores del departamento de trabajo la usan habitualmente para sus labores. Alguien pudo acceder al servidor y subió código que aprovecha esta vulnerabilidad y recopila información de los equipos de aquellos que accedían al sitio. Por tanto, se comprometió una web oficial para poder atacar a otros usuarios de un departamento diferente.

En un principio, todos los investigadores pensaron que se trataba de una vulnerabilidad en el navegador parcheada a principios de año. Poco después se confirmo que, incluso en sistemas parcheados, era posible la ejecución de código.

Durante el ataque, se descargaba una versión modificada de la herramienta de control remoto (RAT) Poison Ivy, poco detectada por antivirus y además con sus cabeceras PE modificadas para pasar desapercibido.

El exploit ya está disponible en Metasploit, por lo que cualquiera puede estudiarlo y aprovecharlo para cualquier fin. Se espera que los exploits kits lo incluyan pronto en sus repositorios y, por tanto, sus ataques sean aún más eficaces.

Fuente: Hispasec
Autor: David García
Publicación realizada con autorización de la fuente.

Image courtesy of jscreatinzs / FreeDigitalPhotos.net