Atacantes usan vulnerabilidad 0-day en Internet Explorer 8 para propagar malware desde webs legítimas

La noticia saltaba a última hora del pasado viernes. Investigadores de la empresa FireEye anunciaban haber recibido informes indicando que la web del Council on Foreign Relations (una de las organizaciones privadas más poderosas) había sido comprometida y estaba propagando malware. Todavía es pronto para tratar la finalidad de esta acción aunque algunos medios especulan que podría tratarse de una operación realizada por atacantes chinos para obtener valiosa información confidencial de los usuarios que visitan esa web.

Las primeras investigaciones apuntan a que esta relevante web podría haber estado sirviendo malware desde el pasado 21 de Diciembre, por lo que todavía es pronto para calcular el número de posibles víctimas. Lo que sí parece confirmado es que este ataque estaba preparado para aprovecharse de una vulnerabilidad desconocida (que usa un archivo Flash especialmente modificado para activarla)  hasta el momento en versiones de la 6 a la 8 del navegador Internet Explorer.

Conociendo esta vulnerabilidad, un atacante puede comprometer una web legítima y modificarla para que empiece a distribuir malware. De esta forma, todos los usuarios que la visiten usando una versión vulnerable de Internet Explorer quedarían expuestos al ataque y podrían infectar sus sistemas. Si deseas obtener información más detallada acerca del funcionamiento de este ataque podemos acudir al blog de Alienvault, donde se explica paso a paso el funcionamiento del mismo.

Algunos investigadores han indicado que el origen de esta vulnerabilidad podría ubicarse a  principios del pasado septiembre, observando las primeras muestras de malware que la aprovechaba a principios de diciembre. A día de hoy ya existen módulos del conocido framework Metasploit que la incluyen entre sus herramientas, por lo que esperamos que su uso se intensifique en los próximos días.

eset_nod32_antivirus_metasploit1

El problema para el usuario de a pie radica en que ahora mismo se encuentra indefenso ante esta amenaza que puede empezar a propagarse de forma masiva en múltiples webs. Obviamente, si el antivirus que tenemos instalado en nuestro sistema detecta y elimina los archivos maliciosos que se intentan descargar desde estas webs comprometidas contaremos con una capa adicional de seguridad, pero es Microsoft quien tiene que mover ficha en el asunto y de forma urgente.

Por su parte, Microsoft ha reconocido esta vulnerabilidad y ha publicado una alerta de seguridad donde explica el problema y ofrece soluciones temporales para mitigarlo. Entre estas recomendaciones encontramos las siguientes:

  • Configurar las zonas de Internet e Intranet local de nuestro navegador a un nivel “Alto” para que bloquee controles ActiveX y Active Scripting en esas zonas. De esta forma, ayudamos a evitar el aprovechamiento de la vulnerabilidad aunque puede afectar a la usabilidad.

eset_nod32_antivirus_IEsegur

  • Configurar Internet Explorer para que pregunte antes de ejecutar Active Scripting o desactivar esta opción en las zonas de Internet o Intranet local. Igual que en el punto anterior, esta medida puede afectar a la usabilidad.

eset_nod32_antivirus_activex

  • Instalar la herramienta EMET para prevenir el aprovechamiento de esta vulnerabilidad sin afectar a la usabilidad. Se puede encontrar una guía rápida de instalación y configuración de esta herramienta en la base de conocimiento de Microsoft.

Desde el laboratorio de ESET NOD32 España nos gustaría añadir nuestros propios consejos complementarios a los que ha proporcionado Microsoft:

  • Actualizar a una versión más reciente de Internet Explorer. Si bien esta actualización puede resultar más problemática en entornos corporativos, no vemos razón alguna por la que un usuario particular esté usando una versión obsoleta del navegador. Se puede descargar Internet Explorer 9 (IE 10 ya viene instalado por defecto en Windows 8) de forma rápida y sencilla, evitando así quedar expuestos a esta vulnerabilidad puesto que estas versiones no se ven afectadas.
  • Desactivar el uso de Flash, Java y otro software de terceros en el navegador si no es absolutamente necesario. A lo largo de los últimos meses hemos comprobado cómo las vulnerabilidades en este software representan la mayor puerta de entrada a nuestro sistema para el malware actual. Si esto lo combinamos con una vulnerabilidad sin solución en el navegador, la mezcla resultante representa una amenaza demasiado grave como para no tomar medidas.
  • El uso de otros navegadores, si bien no nos evita sufrir otras vulnerabilidades que afecten a ese navegador, puede suponer una solución temporal hasta que Microsoft solucione este agujero de seguridad.

Como cada vez que se descubre que una vulnerabilidad similar está siendo aprovechada activamente, esperamos que Microsoft tome cartas en el asunto lo antes posible y lance un parche que solucione esta incidencia. De esta forma,  evitaremos tener nuestros sistemas vulnerables hasta el próximo ciclo de actualizaciones (previsto para el día 8 de enero).

¡Que tengáis una muy feliz salida y entrada de año! ¡¡Feliz 2013!!

Josep Albors

 

 

Un comentario

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..