CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

31/12/2012

0-day en Microsoft Internet Explorer

S’ha descobert un 0-day en Internet Explorer 8 arran d’una campanya "Water Hole" contra el lloc web CFR (Council on Foreign Relations)

Risc: Crític

El passat 27 de desembre, el lloc web Council on Foreign Relations  va ser compromés i utilitzat com a font per a allotjar contingut maliciós amb el qual infectar els equips dels usuaris que visitaren esta web (tècnica recentment esmentada com a Water Hole). Per a això es va utilitzar un exploit no conegut fins al moment que permet executar codi, a causa d’una vulnerabilitat de tipus use-after-free, en versions d’Internet Explorer 8 i inferiors.

Segons les investigacions de FireEye  el codi javascript maliciós allotjat en la web comprovava el llenguatge utilitzat pel navegador per a llançar o no el mateix contra l’usuari. En el cas d’estar configurat amb anglés, xinés, japonés, coreà o rus l’exploit era executat.

La forma d’injectar codi en el navegador es realitzava per mitjà d’un fitxer flaix maliciós (today.swf), el qual generava un heap spray amb el qual executar cert payload.

Tot i que encara s’investiguen els fets, actualment no hi ha un pedaç per a esta vulnerabilitat per la qual cosa és important prendre mesures preventives per a evitar ser infectat. La gent de Metasploit acaba d’incorporar este exploit al seu framework; pot veure’s una prova de concepte  des del blog de l’investigador de seguretat Eric Romang.

Per a entendre este tipus de vulnerabilitats així com els mètodes d’explotació utilitzats es recomana la guia de seguretat "Programari Exploitation" publicada per INTECO-CERT.

Sistemes Afectats:

Internet Explorer 6, 7 i 8

Referències:

None

Solució:

De moment no hi ha cap pedaç oficial per a resoldre la vulnerabilitat per la qual cosa es recomana dur a terme alguna de les mesures preventives següents:

 

Notes:
Font: Inteco-CERT

CSIRT-CV