Microsoft advierte sobre vulnerabilidad zero-day en Internet Explorer, pero aún no hay parche

Internet Explorer

Microsoft ha publicado hoy un aviso de seguridad sobre una vulnerabilidad de Internet Explorer (IE) que actualmente se está en la categoria de zero-day

El aviso de seguridad de la compañía (ADV200001) actualmente solo incluye soluciones y mitigaciones que se pueden aplicar para proteger los sistemas vulnerables de los ataques.

En estos momentos no hay parche para este problema. Microsoft dijo que estaba trabajando en una solución, que se lanzará posteriormente.

Mienstras tanto Microsoft dijo que sabía que los ataques de zero-day a Internet Explorer, la compañía describió estos como «ataques dirigidos limitados», sugiriendo que el día cero no fue ampliamente explotado, sino que era parte de los ataques dirigidos a Un pequeño número de usuarios.

Se cree que estos ataques de zero-day de IE limitados son parte de una campaña de piratería más grande, que también implica ataques contra usuarios de Firefox, lo cual estaría conectado con los ataque a Firefix la semana pasada.

En un tuit ahora eliminado, la empresa de seguridad cibernética china Qihoo 360 dijo que los atacantes realizados a firefox también estaban explotando bug en Internet Explorer del mismo tipo.

A nivel técnico, Microsoft describió este zero-day(día cero) de IE como una falla de ejecución remota de código (RCE) causada por un error de corrupción de memoria en el motor de secuencias de comandos de Javascript de IE.

A continuación se muestra la descripción técnica de Microsoft de este zero-day:

Existe una vulnerabilidad de ejecución remota de código en la forma en que el motor de secuencias de comandos maneja los objetos en la memoria en Internet Explorer. La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual ha iniciado sesión con derechos de usuario administrativos, un atacante que haya explotado con éxito la vulnerabilidad podría tomar el control de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario.

En un escenario de ataque basado en la web, un atacante podría alojar un sitio web especialmente diseñado para aprovechar la vulnerabilidad a través de Internet Explorer y luego convencer a un usuario para que vea el sitio web, por ejemplo, enviando un correo electrónico, y una vez dentro del sitio web, se ejcutaria el codigo javascript y tomaria control sobre los recursos dispomibles.

Microsoft dijo que todas las versiones compatibles de escritorio de Windows y SO de servidor se ven afectadas.

Este zero-day(día cero) de IE RCE no tiene un identificador CVE asignado en este momento.

El año pasado en septiembre y noviembre se parcharon por parte Microsoft errores similares, cabe destacar que el porcentaje de usuarios que usan Internet Explorer es muy poco, pero en muchos entornos corporativos, por restricciones de instalación de software, como servidores o estaciones de trabajo corporativo, el único navegador es Internet Explorer, por lo que dicho bug podría obtener datos sensibles.