Noticias y Alertas
Header

Demo de vulnerabilidad 0-day que permite ataques drive-by en Internet Explorer

junio 14th, 2012 | Posted by kwelladm in Noticias

La pasada semana se detectó una vulnerabilidad en el componente Microsoft XML Core Services, de acuerdo al aviso de seguridad publicado por MS el problema afecta a todas las versiones de Windows y Office 2003/2007.

El fallo ya está siendo aprovechado por los ciberdelincuentes y aún no hay una actualización disponible, aunque se ha publicado un parche temporal (Fix it) que se recomienda aplicar (ver al final del post).

¿Cómo podrías infectarte? Uno de los caminos es un ataque drive-by en Internet Explorer, es decir que podrías infectarte automáticamente por el simple hecho de visitar una página maliciosa con IE.

Demostración del ataque en video:

En Metasploit se encuentra disponible un exploit que permite aprovechar la vulnerabilidad, el video lo grabé ayer cuando el exploit sólo funcionaba con IE 6 y 7 bajo Windows XP SP3, actualmente también permite realizar el ataque sobre IE 8 y Windows 7.

Verás dos máquinas virtuales corriendo como si fueran dos computadoras distintas, una es la víctima con XP y la otra el atacante con Backtrack, una distribución de Linux que incluye un montón de herramientas de seguridad y auditoría.

En los primeros segundos cargo el exploit en una página web alojada en un servidor local, luego accedo a ella desde el equipo con Windows (imagina que se trata de una víctima que recibe el enlace por correo, Facebook, chat, etc) y finalmente obtengo el control del equipo infectado:

 

A modo de ejemplo ejecuto el comando de apagado shutdown y tomo una captura del escritorio, pero se podría hacer prácticamente cualquier cosa desde robar documentos hasta controlar la webcam.

Aplicando el parche temporal:

fix it CVE-2012-1889 temporal

El Fix it puede ser descargado desde acá… hay dos, uno habilita los cambios en el sistema y el otro los deshace. Ten en cuenta que no es una solución final, pero permite bloquear algunos ataques. Cuando el parche final esté disponible, aplica el Fix it Deshabilitar y luego lo descargas desde Windows Update.

Otra vulnerabilidad:

Por último, mencionar que al mismo tiempo que se detectaba esta vulnerabilidad en Microsoft XML Core Services, se parcheaba otro 0-day de Internet Explorer (más información) que permite realizar ataques similares. La actualización final para este problema se encuentra disponible desde el martes pasado… ¿tienes actualizado tu equipo?

Referencias:

Microsoft: Security Advisory (2719615)
Segu-Info: Exploit 0-Day en Microsoft Internet Explorer usado para robar cuentas
Metasploit: Microsoft XML Core Services MSXML Uninitialized Memory Corruption

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Deja un comentario