Hola a todos,
El pasado 18 de Septiembre se hizo público un grave agujero en las versiones activas de Internet Explorer, para todas las versiones de sistemas operativos. Normalmente cuando se descubre una vulnerabilidad se dá un tiempo al fabricante para que la solucione, si se hace pública sin que exista parche se habla de un "Zero-Day" como es el caso. Lo que indica que es un grave el riesgo de seguridad. Ademas se sabe que está siendo utilizada.
Lo primero de todo, siempre que recibáis un aviso de este tipo, debéis analizar cual es la fuente y contrastarla con otras antes de tomar ninguna actuación.
http://tecnologia.elpais.com/tecnologia/2012/09/18/actualidad/1347955876_102489.html
http://www.elmundo.es/elmundo/2012/09/20/navegante/1348127917.html
Podéis encontrar información detallada en estas páginas, en el texto del final del blog de Hispasec, a los que por cierto felicito por su reciente asociación con Google, en las páginas oficiales tipo
https://www.osi.es/es/actualidad/avisos/2012/09/fallo-de-seguridad-en-el-navegador-internet-explorer o en el propio Microsoft.
En muchas de ellas se recomendaba cambiar a otro explorador como Firefox o Chrome mientras Microsoft la solucionaba. Lo que no tiene en cuenta esta recomendación es la incapacidad de muchos usuarios para hacer esto, los costes que puede suponer para las empresas con gran cantidad de equipos y usuarios, donde no solo se debe sopesar el coste de distribución e instalación sino también el de formación y uso del nuevo navegador, que no tendrá una curva plana, sus incompatibilidades y el soporte a incidencias. De hecho basta cambiar a alguno de estos navegadores un rato y veremos que algunas de las paginas que habitualmente usamos no funcionan, o no lo hacen del todo. OJO, no quiero decir que el de Microsoft sea mejor, sino que no hay una solución perfecta.
En cualquier caso Microsoft dice haber resuelto el problema y ha publicado un parche acumulativo fuera de sus circuitos habituales de todos los martes. Es muy recomendable que aquellos que sigáis usando este navegador lo apliquéis. Para ello usar la página http://windowsupdate.microsoft.com/ o http://support.microsoft.com/kb/2744842. Podéis encontrar más información del parche en http://www.hispasec.com/unaaldia/5081.
Como siempre la mejor seguridad la aporta el sentido común y si no ejecutamos enlaces desconocidos o sospechosos tendremos mucho ganado.
Besitos para ellas y abracitos para ellos.
*********************************************************************************
Grave vulnerabilidad sin parche en Internet Explorer está
siendo aprovechada por atacantes
----------------------------------------------------------------
Se ha descubierto un nuevo exploit que aprovecha una
vulnerabilidad crítica en Internet Explorer. Permite la ejecución remota de
código arbitrario y que está siendo usada por atacantes. Afecta a las versiones
7, 8 y 9 del navegador en todas las versiones del sistema operativo.
Se ha descubierto una vulnerabilidad en Internet
Explorer, previamente desconocida y que está siendo aprovechada por atacantes.
Uno de los datos más curiosos es cómo fue descubierto por el investigador Eric
Romang (@eromang), y que indica que este 0-day podría estar relacionado por los
mismos autores de la grave vulnerabilidad en Java de hace solo unas semanas.
Después del descubrimiento del problema en Java, Eric Romang monitorizaba
regularmente algunos de los servidores desde donde se sabía que se distribuía
aquel exploit y relacionados con sus desarrolladores. El día 14 de septiembre
detectó que se había creado nuevo directorio en uno de ellos donde se alojaba
el código para aprovechar una nueva vulnerabilidad, que resultó ser esta de
Internet Explorer.
El fallo permite la ejecución remota de código a través
de una vulnerabilidad en la función execCommand utilizando referencias no
válidas a puntero ya liberado (use-after-free). En el código del exploit esto
se consigue mediante la creación de un objeto 'CMshtmlEd', su eliminación y
posterior uso de la zona de memoria mediante CMshtmlEd::Exec. Una vez explotada
la vulnerabilidad, se ejecuta el payload mediante la técnica del relleno de la
memoria heap mediante NOPs (heap spray) y del propio shellcode para conseguir
su ejecución. Elude DEP y ASLR con técnicas ROP y después carga un troyano del
servidor malicioso.
En el siguiente vídeo se puede observar todo el proceso,
llevado a cabo en un servidor comprometido donde se alojaban tanto el exploit
de IE como el conocido RAT Poison Ivy, encargado de controlar a la potencial
víctima.
El diagrama de flujo del ataque sería el siguiente:
El exploit (Protect.html) inicialmente no era detectado
por ninguna casa
antivirus:
Aunque finalmente Microsoft ha actualizado sus
definiciones de antivirus identificando la familia del exploit como Dufmoh.
Este 0-day está siendo ampliamente explotado tras la
publicación del script para Metasploit. Aunque el módulo de Metasploit está
creado para Internet Explorer 8, se podría modificar para otras versiones.
No existe parche o contramedida oficial por parte de
Microsoft, por lo que se recomienda el uso de otros navegadores hasta que sea
publicada una actualización. EMET correctamente configurado, podría permitir
detener el vector de ataque.
Opina sobre esta noticia:
Más información:
Zero-Day Season Is Really Not Over Yet
IE execCommand fuction Use after free Vulnerability 0day
en http://blog.vulnhunt.com/index.php/2012/09/17/ie-execcommand-fuction-use-after-free-vulnerability-0day_en/
metasploit: Microsoft Internet Explorer execCommand
Use-After-Free Vulnerability http://dev.metasploit.com/redmine/projects/framework/repository/revisions/aac41e91fd38f99238971892d61ead4cfbedabb4/entry/modules/exploits/windows/browser/ie_execcommand_uaf.rb
Mmm, Smells Like 0day
New Internet Explorer zero day being exploited in the
wild http://labs.alienvault.com/labs/index.php/2012/new-internet-explorer-zero-day-being-exploited-in-the-wild
Exploit:Win32/Dufmoh.B
Microsoft Internet Explorer execCommand Use-After-Free
Vulnerability http://dev.metasploit.com/redmine/projects/framework/repository/revisions/aac41e91fd38f99238971892d61ead4cfbedabb4/entry/modules/exploits/windows/browser/ie_execcommand_uaf.rb
2a2e2efffa382663ba10c492f407dda8a686a777858692d073712d1cc9c5f265
Jose Mesa
Sergio de los Santos
@ssantosv