En
los últimos días se ha identificado un
exploit 0-day que afecta a Internet Explorer 9 y 10. Microsoft ha
confirmado el problema y ha
publicado un aviso con un parche temporal (en forma de Fix-It) hasta la
publicación de la actualización definitiva. El desarrollo del ataque y el análisis
de la vulnerabilidad dejan muchos puntos de interés.
Las compañías FireEye y Symantec han colaborado en la
investigación del ataque, detectado
el pasado 11 de febrero por compañía FireEye al identificar un exploit 0-day
que estaba siendo aprovechado desde el sitio de veteranos de guerras
extranjeras de los Estados Unidos (vfw.org, Veterans of Foreign Wars). 
Mientras el ataque estaba activo,
los visitantes de vtw.org cargaban el iframe insertado por los atacantes que mostraba
por detrás una segunda página comprometida (alojada en aliststatus.com) El iframe
img.html descargaba un archivo Flash malicioso ("tope.swf") que explotaba la vulnerabilidad del navegador. Symantec
detecta el Iframe malicioso como Trojan.Malscript y el swf como Trojan.Swifi.
El Flash al explotar la vulnerabilidad,
provocaba otra descarga desde el dominio aliststatus.com para iniciar los pasos
finales del ataque. Primeramente descargaba el archivo gráfico "erido.jpg" (en formato .png) que
contenía diversos binarios embebidos que eran extraídos por código shell
ejecutado por el SWF. Los binarios incluidos eran "sqlrenew.txt" (que realmente ocultaba una dll) y "stream.exe" (detectado como Backdoor.Winnti.C
o Backdoor.ZXShell).
Por último, el swf entonces se
encargaba de cargar la dll maliciosa, la cual por su parte lanzaba el proceso "stream.exe" con la carga maliciosa
final.
Según las investigaciones de Symantec
se sugiere una conexión entre este ataque y otros realizados por el grupo conocido
como Hidden Lynx. Los datos indican el uso de la misma infraestructura empleada
por dicho grupo para otros ataques. Según FireEye, el ataque residía en una
estrategia orientada al compromiso del personal militar estadounidense
Microsoft ha confirmado la
vulnerabilidad, con CVE-2014-0322,
que afecta a las versiones 9 y 10 del navegador Internet Explorer. La firma de Redmond ha
publicado un
aviso, en el que ofrece contramedidas e información para por lo menos de
forma temporal prevenir ser afectados por este problema.
Se ha bautizado al parche, en forma de Fix It, como "MSHTML
Shim Workaround"
que se encuentra disponible desde
Como medidas adicionales se
recomienda la instalación de la versión 11 del navegador (o usar otro
navegador), que no se ve afectado por el problema, así como el uso de la
tecnología EMET (Enhanced Mitigation Experience Toolkit).
Más información:
Microsoft Security Advisory (2934088)
Vulnerability in Internet Explorer Could Allow
Remote Code Execution
Operation SnowMan: DeputyDog Actor Compromises
US Veterans of Foreign Wars Website
Emerging Threat: MS IE 10 Zero-Day
(CVE-2014-0322) Use-After-Free Remote Code Execution Vulnerability
Fix it tool available to block Internet
Explorer attacks leveraging CVE-2014-0322
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario