CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

31/12/2012

0-day en Microsoft Internet Explorer

Se ha descubierto un 0-day en Internet Explorer 8 a raíz de una campaña "Water Hole" contra el sitio web CFR (Council on Foreign Relations)

Riesgo: Crítico

El pasado 27 de Diciembre, el sitio web Council on Foreign Relations  fue comprometido y utilizado como fuente para alojar contenido malicioso con el que infectar los equipos de los usuarios que visitaran dicha web (técnica recientemente apodada como Water Hole). Para ello se utilizó un exploit no conocido hasta el momento que permite ejecutar código, debido a una vulnerabilidad de tipo use-after-free, en versiones de Internet Explorer 8 e inferiores.

Según las investigaciones de FireEye  el código javascript malicioso alojado en la web comprobaba el lenguaje utilizado por el navegador para lanzar o no el mismo contra el usuario. En el caso de estar configurado con lenguaje ingles, chino, japonés, coreano o ruso el exploit era ejecutado.

La forma de inyectar código en el navegador se realizaba por medio de un fichero flash malicioso (today.swf), el cual generaba un heap spraycon el que ejecutar cierto payload.

Aunque todavía se están investigando los hechos actualmente no existe un parche para dicha vulnerabilidad por lo que es importante tomar medidas preventivas para evitar ser infectado. La gente de Metasploit acaba de incorporar dicho exploit a su framework; puede verse una prueba de concepto  desde el blog del investigador de seguridad Eric Romang.

Para entender este tipo de vulnerabilidades así como los métodos de explotación utilizados se recomienda la guía de seguridad "Software Exploitation" publicada por INTECO-CERT.

Sistemas Afectados:

Internet Explorer 6, 7 y 8

Referencias:

None

Solución:

Por el momento no existe ningún parche oficial para solventar la vulnerabilidad por lo que se recomienda llevar a cabo alguna de las siguientes medidas preventivas:

Notas:
Fuente: Inteco-CERT

CSIRT-CV