Seguridad

Una nueva vulnerabilidad de día cero para Internet Explorer

A finales de abril de 2018, los productos de Kaspersky Lab detectaron de forma proactiva un exploit previamente desconocido que, tras ser analizado por los expertos de la compañía, resultó estar usando una vulnerabilidad de día cero CVE-2018-8174 para el Internet Explorer. Según los expertos, se utilizó en ataques dirigidos.

Un hecho particularmente interesante fue que el exploit del Internet Explorer fue descargado en un documento de Microsoft Word, que es el primer caso conocido de dicha técnica. También es importante destacar que una versión de Microsoft Word completamente actualizada fue atacada con éxito.

Tras el descubrimiento, Kaspersky Lab informó sobre esa vulnerabilidad a Microsoft. Un exploit es un tipo de software que aprovecha un error o vulnerabilidad en otro software para infectar a las víctimas con código malicioso. Los exploits son ampliamente utilizados, tanto por ciberdelincuentes que buscan ganancias, como por medios más complejos respaldados por estados con fines maliciosos.

No pasará mucho tiempo antes de que los ataques a esta vulnerabilidad lleguen a los kits de exploits populares.» – Anton Ivanov.

En este caso particular, el exploit identificado se basa en el código malicioso que ataca la vulnerabilidad de día cero, un error típico de use-after-free (UAF) cuando un código ejecutable legítimo, como el del Internet Explorer, presenta una lógica incorrecta de procesamiento de memoria. Esto lleva a la comunicación de código con la memoria libre. Mientras que en la mayoría de los casos esto resulta en un simple bloqueo del navegador, con el exploit los atacantes usan este error para pasarse el control de la máquina a ellos mismos.

Un análisis más profundo de los exploits ha demostrado que la cadena de infección consta de los siguientes pasos:

  1. La víctima recibe el documento RTF malicioso de Microsoft Office;
  2. Después de abrir el documento malicioso, se descarga la segunda etapa del exploit: una página HTML con código malicioso;
  3. El código desencadena la corrupción de memoria por el error UAF;
  4. Entonces se ejecuta el shellcode que descarga la carga maliciosa.

Una nueva vulnerabilidad de día cero para Internet Explorer«Esta técnica, hasta que se solucionó, permitía a los delincuentes forzar la carga de Internet Explorer, sin importar qué navegador usara normalmente, aumentando así aún más una superficie de ataque que ya era enorme. Afortunadamente, el descubrimiento proactivo de la amenaza ha llevado a la publicación oportuna del parche de seguridad de Microsoft. Instamos a las organizaciones y usuarios privados a instalar de inmediato los parches recientes, ya que no pasará mucho tiempo antes de que los ataques a esta vulnerabilidad lleguen a los kits de exploits populares y sean utilizados no solo por agentes avanzados de amenazas, sino también por cibercriminales comunes», dice Anton Ivanov, investigador de seguridad para Kaspersky Lab.

Los productos de Kaspersky Lab detectan y bloquean todas las etapas de la cadena de explotación y la carga con los siguientes veredictos:

  • HEUR: Exploit.MSOffice.Generic – Documento RTF
  • PDM: Exploit.Win32.Generic – exploit en el IE – detección con tecnología de prevención automática de ataques
  • HEUR: Exploit.Script.Generic – exploit en el IE
  • HEUR: Trojan.Win32.Generic – carga incluida

Autor

  • Florencia Gómez Forti

    Periodista y Social Media Manager especializada en tecnología y espectáculos. Comenzó su camino en el mercado IT de la mano de ITSitio y hoy es Editora de Contenidos para toda la región. Realiza coberturas especiales internacionales y nacionales para marcas como HP Inc. e IBM.

[mdx-adserve-bstreet region="MED"]

Florencia Gómez Forti

Periodista y Social Media Manager especializada en tecnología y espectáculos. Comenzó su camino en el mercado IT de la mano de ITSitio y hoy es Editora de Contenidos para toda la región. Realiza coberturas especiales internacionales y nacionales para marcas como HP Inc. e IBM.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba