Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
31/12/2012
El passat 27 de desembre, el lloc web Council on Foreign Relations va ser compromés i utilitzat com a font per a allotjar contingut maliciós amb el qual infectar els equips dels usuaris que visitaren esta web (tècnica recentment esmentada com a Water Hole). Per a això es va utilitzar un exploit no conegut fins al moment que permet executar codi, a causa d’una vulnerabilitat de tipus use-after-free, en versions d’Internet Explorer 8 i inferiors.
Segons les investigacions de FireEye el codi javascript maliciós allotjat en la web comprovava el llenguatge utilitzat pel navegador per a llançar o no el mateix contra l’usuari. En el cas d’estar configurat amb anglés, xinés, japonés, coreà o rus l’exploit era executat.
La forma d’injectar codi en el navegador es realitzava per mitjà d’un fitxer flaix maliciós (today.swf), el qual generava un heap spray amb el qual executar cert payload.
Tot i que encara s’investiguen els fets, actualment no hi ha un pedaç per a esta vulnerabilitat per la qual cosa és important prendre mesures preventives per a evitar ser infectat. La gent de Metasploit acaba d’incorporar este exploit al seu framework; pot veure’s una prova de concepte des del blog de l’investigador de seguretat Eric Romang.
Per a entendre este tipus de vulnerabilitats així com els mètodes d’explotació utilitzats es recomana la guia de seguretat "Programari Exploitation" publicada per INTECO-CERT.
Sistemes Afectats:Internet Explorer 6, 7 i 8
Referències:None
Solució:De moment no hi ha cap pedaç oficial per a resoldre la vulnerabilitat per la qual cosa es recomana dur a terme alguna de les mesures preventives següents:
Notes: