CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

06/05/2013

Vulnerabilidad de día 0 en Internet Explorer 8

Microsoft está investigando información publicada sobre una vulnerablidad en Internet Explorer 8. Microsoft es conocedora de ataques que intentan explotar esta vulnerabilidad que permitiría la ejecución de código remoto.

Riesgo: Crítico

Resumen Ejecutivo
Microsoft está investigando información publicada sobre una vulnerablidad en Internet Explorer 8. Microsoft es conocedora de ataques que intentan explotar esta vulnerabilidad. Internet Explorer 6, Internet Explorer 7, Internet Explorer 9 e Internet Explorer 10 no se verían afectados por esta vulnerabilidad.

Se trata de una ejecución de código remoto. La vulnerabilidad se produce al acceder a un objeto en memoria que ha sido borrado o que no ha sido asignado correctamente. La vulnerabilidad podría corromper la memoria de forma que permitiría al atacante ejecutar código arbitrario dentro del contexto del usuario actual de Internet Explorer. Un atacante podría alojar un sitio web malicioso diseñado específicamente para aprovechar esta vulnerabilidad a través de Internet Explorer y engañar a la víctima a visitar dicho sitio web.

Cuando finalice la investigación, Microsoft tomará las acciones necesarias para proteger a sus clientes, que podría consistir en una solución a través de su boletín mensual de seguridad o a través de una actualización de seguridad fuera de ciclo, dependiendo de las necesidades del cliente.

Estamos trabajando de forma activa con nuestros colaboradores en el Programa de Protección Activa de Microsoft (MAPP) para proporcionarles información que puedan utilizar para una mayor protecciones a los clientes. Además, estamos trabajando activamente para supervisar el panorama de amenazas y adoptar medidas contra sitios maliciosos que intenten aprovechar esta vulnerabilidad.

Microsoft sigue recomendando a los clientes seguir las instrucciones del Centro de Seguridad de Microsoft: habilitar el firewall, aplicar todas las actualizaciones de software y la instalación de software antimalware.

Factores atenuantes
De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008, y Windows Server 2008 R2 se ejecuta en un modo restringido conocido como Configuración Mejorada de seguridad. Este modo solucionaría esta vulnerabilidad.

Asimismo, por defecto todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML como sitios de zona restringida. En los Sitios de zona restringida se deshabilitan los scripts y los controles ActiveX, ayudando a reducir el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malicioso. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, el usuario aún podría ser vulnerable a la explotación de esta vulnerabilidad a través de la posibilidad de un ataque basado en web.

Un atacante que aprovechara esta vulnerabilidad podría conseguir los mismos permisos que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos permisos en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrador.

En caso de un ataque web, el intruso podría alojar un sitio que contenga una página web que se utilice para aprovechar esta vulnerabilidad. Además, sitios web comprometidos y sitios web que acepten o alojen contenido proporcionado por el usuario o anuncios podrían incluir contenido especialmente diseñado que permitiría aprovechar esta vulnerabilidad. En todos los casos, sin embargo, el atacante no podría obligar a los usuarios a visitar estos sitios web. En su lugar, el atacante tendría que convencer a los usuarios a visitar el sitio web, engañándoles para que hagan clic en un enlace de un mensaje de correo electrónico o de un mensaje instantáneo que lleve a los usuarios al sitio web del atacante.

Sistemas Afectados:

Windows XP Service Pack 3 Internet Explorer 8
Windows XP Professional x64 Edition Service Pack 2
Internet Explorer 8
Windows Server 2003 Service Pack 2
Internet Explorer 8
Windows Server 2003 x64 Edition Service Pack 2
Internet Explorer 8
Windows Vista Service Pack 2
Internet Explorer 8
Windows Vista x64 Edition Service Pack 2
Internet Explorer 8
Windows Server 2008 for 32-bit Systems Service Pack 2
Internet Explorer 8
Windows Server 2008 for x64-based Systems Service Pack 2
Internet Explorer 8
Windows 7 for 32-bit Systems Service Pack 1
Internet Explorer 8
Windows 7 for x64-based Systems Service Pack 1
Internet Explorer 8
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Internet Explorer 8
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
Internet Explorer 8

Referencias:

CVE-2013-1347

Solución:

Actualmente no hay solución oficial. Se recomienda a los administradores que consideren utilizar un navegador alternativo hasta que la vulnerabilidad haya sido corregida o actualizar a Internet Explorer 9 ó 10.

Además, se puede utilizar una lista blanca de sitios de Internet de confianza para reducir la superficie de exposición de Internet Explorer. Si la lista de URLs críticas para el negocio ha sido predefinida en el filtro de contenido de la organización, se podría permitir a los usuario seguir utilizándolo para sitios internos o de la intranet, y únicamente permitir a Internet Explorer acceder a estos sitios de confianza. Hay que tener en cuenta que la infección puede ocurrir a través de paneles de anuncios incluso de sitios de confianza. Sin embargo, con la utilización de esta lista blanca se mitiga la amenaza en gran medida.

Notas:

Boletín original:
http://technet.microsoft.com/en-us/security/advisory/2847140

Fuente: AusCERT

CSIRT-CV