Microsoft ha lanzado recientemente MS12-063 para abordar las vulnerabilidades que afectan a todas las versiones de Internet Explorer, es decir, las versiones 6, 7, 8 y 9. El siguiente artículo es una mirada en profundidad al exploit de día cero y discute sus varias repercusiones.
¿De qué se trata MS12-063?
MS12-063 es un boletín de seguridad fuera de banda que aborda los ataques a través de vulnerabilidades en todas las versiones compatibles de Internet Explorer (9 y anteriores). Microsoft le dio a MS12-063 una calificación «crítica».
Estas vulnerabilidades en Internet Explorer (IE) se explotaron recientemente en la naturaleza. El uso de execCommand Después de la vulnerabilidad Libre o CVE-2012-4969 es la vulnerabilidad más grave que conduce a la ejecución de código malicioso por atacantes remotos.Esta vulnerabilidad en particular también fue explotada en un ataque dirigido que resulta en la descarga del troyano de acceso remoto PlugX (RAT).
¿Cuál es la causa raíz de este exploit?
Antes de la actualización de seguridad fuera de banda, las versiones 6-9 de los navegadores IE sin parches eran vulnerables al exploit al visitar sitios web comprometidos. Esto lleva a que los atacantes obtengan los mismos privilegios que el usuario actual a través de los navegadores IE sin parches. Además, las estadísticas han demostrado que esta vulnerabilidad pone en riesgo a más del 30% de los usuarios de Internet en todo el mundo.
¿Por qué se llama vulnerabilidad «usar después de liberar»?
» Usar después de liberar «se refiere a» hacer referencia a la memoria después de que ha sido liberada (lo que) puede causar que un programa se bloquee, use valores inesperados o ejecute código.»
¿Cómo explotan los atacantes esta vulnerabilidad?
Los atacantes hacen uso de varios componentes para explotar IE con éxito. Estos incluyen un archivo HTML malicioso, un malicioso .Archivo SWF, y la activación de un malintencionado .EXE como carga útil final.
- Cuando los usuarios se conectan a un sitio web comprometido, el archivo HTML malicioso o el exploit.html (HTML_EXPDROP.II) sirve como punto de entrada del ataque. Crea varias instancias del elemento de imagen (matriz) en el documento o en la página web actual. Todos ellos establecen el valor de src en la cadena «a». Estos valores se almacenan en la memoria del montón. Un montón se refiere a un área de memoria pre-reservada que un programa puede usar para almacenar datos en una cantidad variable.
HTML_EXPDROP.II luego carga el Moh2010 malicioso.swf (SWF_DROPPR.II, SWF_DROPPR.IJ, SWF_DROPPR.IK o SWF_DROPPR.IL)
- Una vez Moh2010.cargas swf, el .A continuación, SWF carga un iframe que redirige para proteger.html, también detectado como HTML_EXPDROP.II.
- Proteger.a continuación, html activa la vulnerabilidad que sigue la siguiente secuencia de eventos:
- Documento de ejecución.execCommand («selectAll») activa el evento selectAll»Testelect=’testArray ()'». A continuación, crea el objeto CmshtmlEd en la memoria de montón.
- Cuando la función testArray () se activa, llama al documento.write (función» L» » para reescribir el .Documento HTML. Reescribe el .Documento HTML para «liberar» la memoria del montón del objeto CmshtmlEd creado. (Esta es la parte «libre» de la vulnerabilidad «usar después de liberar».)
- El método resaltado en la Figura 5 a continuación (padre.jifud.src=…) se ejecuta 100 veces para intentar sobrescribir la memoria de montón liberada del objeto CmshtmlEd.
El método CMshtmlEd::Exec intenta acceder a la memoria de montón liberada del objeto CmshtmlEd. Llamar al método CMshtmlEd::Exec conduce a un error de excepción, que luego conduce a la ejecución de código arbitrario. (Esta es la parte «usar» en la vulnerabilidad «usar después de liberar».)
- Documento de ejecución.execCommand («selectAll») activa el evento selectAll»Testelect=’testArray ()'». A continuación, crea el objeto CmshtmlEd en la memoria de montón.
- Moh2010.swf contiene el código de pulverización de montón (shellcode) que ya está cargado en la memoria. Una vez que se produce el error de excepción usar después de liberar, ejecuta el código shell responsable de descargar y ejecutar la carga útil http://{BLOCKED}.{BLOCKED}.104.149/public/help/111.exe o BKDR_POISON.BMN.
¿Causará este exploit un impacto IE 10?
No. El exploit mencionado anteriormente no está relacionado con el próximo navegador IE 10. Pero poco después del exploit de día cero, Microsoft lanzó una actualización de seguridad para los usuarios que ya han descargado la versión pre-lanzada de IE 10. El aviso de seguridad de Microsoft 2755801 aborda las vulnerabilidades de Adobe Flash Player en IE 10 en todas las ediciones compatibles de Windows 8 y Windows Server 2012.
hubo otros ataques que aprovechara esta vulnerabilidad?
Sí. Este exploit también se usó en ataques dirigidos que eliminaron el troyano de acceso remoto PlugX (RAT). Estos ataques estaban dirigidos contra instituciones relacionadas con el gobierno e industrias clave.
¿Cuáles son otras repercusiones de los sistemas no parcheados?
Los exploits generalmente permiten a los atacantes soltar o cargar malware que descarga otro malware más amenazador en sistemas vulnerables o sin parches. Pero incluso una computadora actualizada puede ser vulnerable a ataques a través de vulnerabilidades de día cero. Los exploits de día cero son de naturaleza más peligrosa, ya que se dirigen a vulnerabilidades que aún no han sido resueltas por los respectivos proveedores de software. Hasta que el proveedor de software emita una solución alternativa, es decir, una herramienta de reparación o la actualización de software real, los usuarios quedan desprotegidos y vulnerables a las amenazas.
¿Cómo me protejo de esta vulnerabilidad de día cero?
Además de aplicar las actualizaciones de seguridad prescritas, puede consultar blogs de seguridad confiables o sitios de asesoramiento de proveedores de software sobre nuevos posibles exploits y determinar los vectores de infección involucrados. Si el exploit entra en los equipos de los usuarios a través de sitios específicos o se dirige a ciertos navegadores, es mejor adoptar un enfoque proactivo. Cambie a un navegador diferente hasta que esté seguro de que todas las correcciones están en su lugar. Pero el uso de otros navegadores web, aparte de IE, puede no ser una opción viable para algunos usuarios debido a las limitaciones impuestas por los administradores de TI en diferentes instituciones.
En cualquier caso, hasta que se publiquen los parches necesarios, la prevención de vulnerabilidades del navegador integrada en Trend Micro ™ Titanium™ 2013 también protege a los usuarios contra vulnerabilidades dirigidas a esta vulnerabilidad.
¿Los usuarios de Trend Micro están protegidos de esta amenaza?
Sí. Trend Micro ™ Smart Protection Network ™ protege a los usuarios detectando el exploit y otros archivos maliciosos y bloqueando el acceso a los servidores maliciosos. Consulte nuestra página de boletín de vulnerabilidades para obtener información sobre cómo la seguridad profunda protege a los clientes de estos exploits. Además, los usuarios pueden consultar la página oficial de Boletines de seguridad de Microsoft para obtener los parches e información detallada sobre las vulnerabilidades.