La semana pasada, cuando Microsoft lanzó la actualización crítica de Internet Explorer, la empresa emitió una advertencia de que el código funcional podría ser liberado dentro de 30 días.
Menos de una semana después, un exploit de una de la falla «crítica» del navegador se ha instalado en la herramienta de ataque de distribución gratuita Metasploit, las muestras han sido liberadas a Contagio, un blog que da seguimiento en directo los ataques de malware.
La adición del exploit en Metasploit significa que los ciber-delincuentes tienen ahora acceso a copiar el código de ataque para su uso en el kit de explotación y otros ataques de malware de comunicación.
La vulnerabilidad (CVE-2012-1875) es un defecto de ejecución remota de código en la forma en que Internet Explorer obtiene acceso a un objeto que ha sido borrado. La vulnerabilidad puede dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual.
Microsoft ha confirmado que este error está siendo utilizado en «ataques limitados», pero la compañía no ha actualizado (todavía) su boletín MS12-037 para aclarar que el código público del exploit está ahora ampliamente disponible.
Según McAfee, los ataques comenzaron cerca del primero de junio 2012:
El exploit funciona las principales plataformas de Windows, incluyendo Windows Vista y Windows 7. Aprovecha la programación orientada al retorno (ROP), la tecnología de la explotación de derivación con ejecución de datos (DEP) y las protecciones aleatorias del espacio de direcciones de diseño (ASLR), y el gancho de salto de las técnicas de evasión para evadir las detecciones basadas en host IPS. Se requiere del sistema de la víctima para ejecutar una vieja máquina virtual de Java que viene con una versión non-ASLR de msvcr71.dll. Si Java no está instalado o no existe una versión non-ASLR de msvcr71.dll en el sistema, el exploit no tendrá oportunidad, a pesar de que hará que Internet Explorer deje de funcionar.
En Windows XP, la vulnerabilidad puede ser explotada de forma fiable sin ningún componente de terceros. Encontramos que el exploit trató de descargar y ejecutar un binario desde un servidor remoto. El servidor fue hospedado por Yahoo y fue retirado el mismo día que Microsoft informó acerca de este hecho.
Los investigadores de AlienVault Labs reportan el descubrimiento de «varios servidores de hosting de versiones similares del exploit.» También dijo que el exploit es compatible con una amplia gama de idiomas y versiones de Windows (desde Windows XP hasta Windows 7) y parece ser muy confiable.
Es importante señalar que esta vulnerabilidad es completamente diferente de la vulnerabilidad de IE sin parchar ligada a la de «los atacantes de algún Estado» que participan en los ataques actuales contra GMail y usuarios de Windows.
La siguiente liga muestra el exploit en acción de Metasploit:
http://www.youtube.com/watch?feature=player_embedded&v=b2_SEx6aBCI
Tomada de http://www.seguridad.unam.mx/index.html Subdirección de Seguridad de la Información, UNAM.