Suele ocurrir que coincidiendo con el envío de las actualizaciones de Microsoft se publique alguna vulnerabilidad no cubierta con las actualizaciones, de forma que Microsoft se ve obligado a publicar un boletín fuera de ciclo o, en el peor de los casos, se espera hasta la siguiente remesa de actualizaciones de forma que los que han desarrollado el exploit de la vulnerabilidad tienen más tiempo para utilizarla.

Coincidiendo con la publicación de los boletines de Microsoft de diciembre, se han detectado dos ataques 'dia-0' (vulnerabilidades que se hacen públicas sin notificar al fabricante ni darle tiempo a remediarlas).

Uno de los casos es el que referenciamos en esta alerta sobre un problema con el editor WordPad. No afecta a Windows Vista ni a Windows XP con el SP3, además, los equipos que tengan un editor por defecto como el Word de MSOffice o Write de OpenOffice seguramente tampoco se verán afectados.

Otro ataque 'dia-0' afecta directamente a Internet Explorer 7:

Microsoft Internet Explorer 7

Microsoft Windows XP
Microsoft Windows 2003

Riesgo:   Alto

Diversas fuentes se han hecho eco de una vulnerabilidad 0-day en Internet Explorer 7, que está siendo explotada activamente y que no ha sido corregida en los boletines de seguridad publicados el pasado martes por Microsoft.

En estos momentos, el exploit que se aprovecha de esta vulnerabilidad, se encuentra circulando de manera activa aunque no está siendo utilizado de manera masiva. Sin embargo, dado que el código está disponible de manera pública, no se descarta que suceda próximamente.

Shadowserver.org ha publicado una lista de sitios infectados, que probablemente no se encuentre totalmente actualizada.

La vulnerabilidad se aprovecha de un típico error de desbordamiento de pila relacionado con el parsing de algún tag XML en la librería mshtml.dll. El exploit podrá ejecutarse en sistemas Windows XP y Windows 2003 que utilicen Internet Explorer 7 y el usuario lo esté ejecutando en ese momento. Si se cumplen estas condiciones, el exploit crea una etiqueta XML y espera 6 segundos antes de ejecutar el código. Esta funcionalidad puede haberse implementado con el objetivo de eludir web crawlers automáticos utilizados por determinados antivirus.

Por el momento no se ha confirmado que otras versiones de Internet Explorer u otros sistemas operativos se hayan visto afectados. Dado que la librería mshtml.dll es muy usada en otras aplicaciones, no se descarta que aparezcan otros objetivos y aplicaciones a ser atacadas remotamente.

Microsoft facilita en el aviso de seguridad 961051 una serie de recomendaciones para mitigar el riesgo:
http://www.microsoft.com/technet/security/advisory/961051.mspx

En este momento parece que todas las URL que albergan el exploit son dominios pertenecientes a China, con lo que es recomendable monitorizar toda navegación a etiquetas iframe que carguen URL del ccTLD .cn.

Así mismo, soluciones como NoScript en FireFox implementadas para Internet Explorer pueden proteger a los usuarios ya que los exploits hacen uso activo de JavaScript.

Recursos CSIRT-CV:
https://recursos.csirtcv.es/index.php?topic=63.0

Microsoft Security Advisory (961051)
Vulnerability in Internet Explorer Could Allow Remote Code Execution

¡Atención! Posible vulnerabilidad de Internet Explorer 7 in the wild:
http://blog.s21sec.com/2008/12/atencin-posible-vulnerabilidad-de.html

0-day exploit for Internet Explorer in the wild:
http://isc.sans.org/diary.html?storyid=5458

Downloader Trojan Exploits Hole in IE 7:
http://www.avertlabs.com/research/blog/index.php/2008/12/09/yet-another-unpatched-drive-by-exploit-found-on-the-web/

Internet Explorer XML Processing Memory Corruption:
http://secunia.com/advisories/33089/

Fuente:  CSIRT-CV www.csirtcv.es