La pasada semana se detectó una vulnerabilidad en el componente Microsoft XML Core Services, de acuerdo al aviso de seguridad publicado por MS el problema afecta a todas las versiones de Windows y Office 2003/2007.
El fallo ya está siendo aprovechado por los ciberdelincuentes y aún no hay una actualización disponible (parche final disponible MS12-043), aunque se ha publicado un parche temporal (Fix it) que se recomienda aplicar (ver al final del post).
¿Cómo podrías infectarte? Uno de los caminos es un ataque drive-by en Internet Explorer, es decir que podrías infectarte automáticamente por el simple hecho de visitar una página maliciosa con IE.
Demostración del ataque en video:
En Metasploit se encuentra disponible un exploit que permite aprovechar la vulnerabilidad, el video lo grabé ayer cuando el exploit sólo funcionaba con IE 6 y 7 bajo Windows XP SP3, actualmente también permite realizar el ataque sobre IE 8 y Windows 7.
Verás dos máquinas virtuales corriendo como si fueran dos computadoras distintas, una es la víctima con XP y la otra el atacante con Backtrack, una distribución de Linux que incluye un montón de herramientas de seguridad y auditoría.
En los primeros segundos cargo el exploit en una página web alojada en un servidor local, luego accedo a ella desde el equipo con Windows (imagina que se trata de una víctima que recibe el enlace por correo, Facebook, chat, etc) y finalmente obtengo el control del equipo infectado:
A modo de ejemplo ejecuto el comando de apagado shutdown y tomo una captura del escritorio, pero se podría hacer prácticamente cualquier cosa desde robar documentos hasta controlar la webcam.
Aplicando el parche temporal:
Actualización julio 2012: se encuentra disponible el parche final que soluciona esta vulnerabilidad, puedes descargarlo desde aquí o por medio de Windows Update.
El Fix it puede ser descargado desde acá… hay dos, uno habilita los cambios en el sistema y el otro los deshace. Ten en cuenta que no es una solución final, pero permite bloquear algunos ataques. Cuando el parche final esté disponible, aplica el Fix it Deshabilitar y luego lo descargas desde Windows Update.
Otra vulnerabilidad:
Por último, mencionar que al mismo tiempo que se detectaba esta vulnerabilidad en Microsoft XML Core Services, se parcheaba otro 0-day de Internet Explorer (más información) que permite realizar ataques similares. La actualización final para este problema se encuentra disponible desde el martes pasado… ¿tienes actualizado tu equipo?
Referencias:
– Microsoft: Security Advisory (2719615)
– Segu-Info: Exploit 0-Day en Microsoft Internet Explorer usado para robar cuentas
– Metasploit: Microsoft XML Core Services MSXML Uninitialized Memory Corruption