Icono del sitio SpamLoco

Demo de vulnerabilidad 0-day que permite ataques drive-by en Internet Explorer

La pasada semana se detectó una vulnerabilidad en el componente Microsoft XML Core Services, de acuerdo al aviso de seguridad publicado por MS el problema afecta a todas las versiones de Windows y Office 2003/2007.

El fallo ya está siendo aprovechado por los ciberdelincuentes y aún no hay una actualización disponible (parche final disponible MS12-043), aunque se ha publicado un parche temporal (Fix it) que se recomienda aplicar (ver al final del post).

¿Cómo podrías infectarte? Uno de los caminos es un ataque drive-by en Internet Explorer, es decir que podrías infectarte automáticamente por el simple hecho de visitar una página maliciosa con IE.

Demostración del ataque en video:

En Metasploit se encuentra disponible un exploit que permite aprovechar la vulnerabilidad, el video lo grabé ayer cuando el exploit sólo funcionaba con IE 6 y 7 bajo Windows XP SP3, actualmente también permite realizar el ataque sobre IE 8 y Windows 7.

Verás dos máquinas virtuales corriendo como si fueran dos computadoras distintas, una es la víctima con XP y la otra el atacante con Backtrack, una distribución de Linux que incluye un montón de herramientas de seguridad y auditoría.

En los primeros segundos cargo el exploit en una página web alojada en un servidor local, luego accedo a ella desde el equipo con Windows (imagina que se trata de una víctima que recibe el enlace por correo, Facebook, chat, etc) y finalmente obtengo el control del equipo infectado:

A modo de ejemplo ejecuto el comando de apagado shutdown y tomo una captura del escritorio, pero se podría hacer prácticamente cualquier cosa desde robar documentos hasta controlar la webcam.

Aplicando el parche temporal:

Actualización julio 2012: se encuentra disponible el parche final que soluciona esta vulnerabilidad, puedes descargarlo desde aquí o por medio de Windows Update.

El Fix it puede ser descargado desde acá… hay dos, uno habilita los cambios en el sistema y el otro los deshace. Ten en cuenta que no es una solución final, pero permite bloquear algunos ataques. Cuando el parche final esté disponible, aplica el Fix it Deshabilitar y luego lo descargas desde Windows Update.

Otra vulnerabilidad:

Por último, mencionar que al mismo tiempo que se detectaba esta vulnerabilidad en Microsoft XML Core Services, se parcheaba otro 0-day de Internet Explorer (más información) que permite realizar ataques similares. La actualización final para este problema se encuentra disponible desde el martes pasado… ¿tienes actualizado tu equipo?

Referencias:

Microsoft: Security Advisory (2719615)
Segu-InfoExploit 0-Day en Microsoft Internet Explorer usado para robar cuentas
Metasploit: Microsoft XML Core Services MSXML Uninitialized Memory Corruption

Salir de la versión móvil