A pesar de las mejoras que ha hecho Microsoft con su navegador, se siguen encontrando fallos en Internet Explorer. El último se ha descubierto hace unos días, una
vulnerabilidad 0-day que permite que un atacante ejecute código en tu ordenador, aunque sin permisos de administrador.
La vulnerabilidad afecta a
todas las versiones de Internet Explorer en todos los sistemas operativos, salvo a Internet Explorer 10. Para que un ordenador sea atacado, tiene que visitar una web especialmente preparada, que descargaría código al ordenador para después ejecutarlo aprovechando este fallo.
Como comento arriba, es una vulnerabilidad 0-day, lo que quiere decir que ya se está explotando activamente. De hecho, lo han descubierto a raíz de un exploit relacionado con otra vulnerabilidad (también 0-day) en Java SE 7 que se destapó hace unos días.
Microsoft ya está al tanto de la vulnerabilidad, aunque no han aclarado si el parche aparecerá en cuanto lo tengan o en uno de sus patch tuesdays, las liberaciones de parches que hacen cada mes. Mientras, aseguraos de tener el antivirus actualizado y de no visitar páginas extrañas para evitar ser infectados.
Información técnica:
El fallo permite la ejecución remota de código a través de una vulnerabilidad en la función execCommand utilizando referencias no válidas a puntero ya liberado (use-after-free). En el código del exploit esto se consigue mediante la creación de un objeto 'CMshtmlEd', su eliminación y posterior uso de la zona de memoria mediante CMshtmlEd::Exec. Una vez explotada la vulnerabilidad, se ejecuta el payload mediante la técnica del relleno de la memoria heap mediante NOPs (heap spray) y del propio shellcode para conseguir su ejecución. Elude DEP y ASLR con técnicas ROP y después carga un troyano del servidor malicioso.
En el siguiente vídeo se puede observar todo el proceso, llevado a cabo en un servidor comprometido donde se alojaban tanto el exploit de IE como el conocido RAT Poison Ivy, encargado de controlar a la potencial víctima.
El diagrama de flujo del ataque
sería el siguiente:
El exploit (Protect.html)
inicialmente no era detectado por ninguna casa antivirus:
Aunque finalmente Microsoft ha
actualizado sus definiciones de antivirus identificando la familia del exploit
como Dufmoh.
Este 0-day está siendo
ampliamente explotado tras la publicación del script para Metasploit. Aunque el
módulo de Metasploit está creado para Internet Explorer 8, se podría modificar para otras versiones.
No existe parche o contramedida oficial por parte de Microsoft, por
lo que se recomienda el uso de otros navegadores hasta que sea publicada una
actualización. EMET correctamente configurado, podría permitir detener el
vector de ataque.