Nueva vulnerabilidad en IE puede ocasionar ejecución remota de código

por Presales Team IberiaEDSI Trend Argentina

Descripción de la vulnerabilidad

Hace unos días Microsoft identificó una vulnerabilidad en Internet Explorer, la cual podría ser explotada por atacantes remotos para tomar el control completo del sistema vulnerable, la misma fue lanzada el día 22 de Diciembre en un boletín de seguridad de máxima prioridad. Es posible que bajo ciertas condiciones un atacante corrompa la memoria en uso utilizando una página Web especialmente diseñada para conseguir la ejecución remota de código.

Detalles

Este inconveniente es causado por un error de memoria en ejecución (Use-After-Free error) en la librería «mshtml.dll» cuando se procesa una página web en formato CSS (Cascading Style Sheet). El formato en cascada CSS se utiliza en varias páginas web para definir la presentación del contenido de los sitios. El exploit se genera realizando varios llamados a procesos mediante la función “@import”.

De esta manera, al llamar a estos subprocesos en el Internet Explorer puede provocar una denegación del servicio, luego de que ocurra este error en memoria (Es decir, cuando se origina el crash en el sistema) se tiene acceso completo al sistema comprometido. Una vez adentro, el atacante ahora podrá eliminar, copiar, pegar o ejecutar procesos sin ninguna intervención del usuario.

Impacto en los equipos

Como señalamos anteriormente, la vulnerabilidad se presenta en páginas especialmente diseñadas para forzar este bug y acceder al equipo. Así que para aprovechar este error, los cibercriminales tendrán que hostear una página web especial y engañar o convencer al usuario a que acceda a ella.
Si bien todavía no hay reportes de ataques maliciosos utilizando esta vía de infección, puede ser que en estos días empiecen a circular correos spam adjuntando o nombrando alguna página web con estas características con fines maliciosos. Por eso si llegan a recibir algún correo sospechoso hay que tener precaución y verificar primero su procedencia.

Medidas para poder evitar esta vulnerabilidad

Mientras esperamos el parche para poder corregir esta vulnerabilidad, hay una serie de medidas las cuales podemos aplicar a nuestro navegador para disminuir las probabilidades de ser sorprendido por un ataque de estas características:

» Controlar los privilegios en los usuarios: Un atacante que aproveche esta vulnerabilidad puede obtener los mismos privilegios sobre el equipo que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos privilegios en el sistema podrían verse menos afectados que aquellos que cuenten con derechos de usuario administrador.

» Modo protegido en IE: El Modo protegido de navegación implementado en los browser a partir de Windows Vista puede ayudar a limitar el impacto de los exploits que se conocen actualmente. El atacante que explote con éxito esta vulnerabilidad contará con derechos muy limitados del sistema.

» Configuración de seguridad: Por defecto, en Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido que se conoce como Configuración de seguridad mejorada. Este modo establece en Alto el nivel de seguridad. Éste es un factor de mitigación para los sitios web que no se agreguen a los sitios confiables dentro del navegador.
» Verificar la procedencia del sitio el cual se accede: Como dijimos anteriormente, en un escenario de ataque basado en la web, el atacante tendría que alojar un sitio que contenga la secuencia de comandos para explotar esta vulnerabilidad y hacer que las personas accedan al mismo. En todos los casos, el atacante no tendría una forma de obligar a los usuarios a que visiten estos sitios. En su lugar, el mismo tendría que convencerlos de que visiten esta web, generalmente al conseguir que hagan click en un vínculo de un mensaje de correo electrónico o mensaje de chat vía MSN generalmente. De esta manera, si queremos evitar estos sitios deberíamos chequear que los links no vengan de lugares sospechosos.

Para los usuarios hogareños, Trend Micro ofrece la herramienta gratuita Browse Guard, brindando protección para esta vulnerabilidad sin necesidad de updates. Browse Guard es un ad-on para Internet Explorer que ofrece protección a los clientes previniendo exploits y analizando scripts en tiempo real buscando sentencias y comportamientos maliciosos.
Para los usuarios corporativos, Deep Security y OfficeScan con el plug-in Intrusion Defense Firewall (IDF) puede proteger a los equipos con las reglas de protección actualizadas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.