Video: Edge vs Chrome (Internet Explorer vs Google Chrome) | Viva La Dirt League (VLDL) (Noviembre 2024)
A fines de abril, los investigadores de seguridad descubrieron una vulnerabilidad en Internet Explorer 8 que permitía a los atacantes ejecutar código malicioso en la computadora de la víctima. Lo más preocupante es que la hazaña se ha encontrado en la naturaleza en un sitio web del Departamento de Trabajo de los EE. UU. Este fin de semana, Microsoft confirmó que el exploit era un nuevo día cero en IE 8.
El exploit
Microsoft emitió un aviso de seguridad el viernes confirmando el exploit en Internet Explorer 8 CVE-2013-1347, señalando que las versiones 6, 7, 9 y 10 no se vieron afectadas.
"Esta es una vulnerabilidad de ejecución remota de código", escribió Microsoft. "La vulnerabilidad existe en la forma en que Internet Explorer accede a un objeto en la memoria que se ha eliminado o no se ha asignado correctamente. La vulnerabilidad puede dañar la memoria de una manera que podría permitir a un atacante ejecutar código arbitrario en el contexto del usuario actual dentro de Internet Explorer ".
"Un atacante podría alojar un sitio web especialmente diseñado para aprovechar esta vulnerabilidad a través de Internet Explorer y luego convencer a un usuario para que vea el sitio web", escribe Microsoft. Desafortunadamente, esto parece haber sucedido ya.
En la naturaleza
El exploit fue notado por primera vez a fines de abril por la compañía de seguridad Invincea. Señalaron que el sitio web de DoL parecía redirigir a los visitantes a otro sitio web donde se instaló una variante del troyano Poison Ivy en el dispositivo de la víctima.
AlienVault Labs escribió que, si bien el malware realizó una serie de actividades, también escaneó la computadora de la víctima para determinar qué virus estaba presente, si lo hubiera. Según AlienVault, el malware verificó el presente software de Avira, Bitdefneder, McAfee, AVG, Eset, Dr. Web, MSE, Sophos, F-secure y Kasperky, entre otros.
En el blog de Cisco, Craig Williams escribe: "esta información probablemente se utilizará para facilitar y garantizar el éxito de futuros ataques".
Si bien es difícil decir cuáles son las motivaciones detrás del ataque DoL, el exploit parece haberse implementado con algunos objetivos en mente. Williams lo llamó un ataque de "pozo de agua", donde se modifica un sitio web popular para infectar a los visitantes entrantes, similar al ataque a los desarrolladores que vimos a principios de este año.
Si bien el DoL fue el primer paso en el ataque, parece posible que los objetivos reales estuvieran en el Departamento de Energía, específicamente los empleados con acceso a material nuclear. AlienVault escribe que estaba involucrado el sitio web de Matrices de Exposición del Sitio que alberga información sobre la compensación de los empleados por la exposición a materiales tóxicos.
Williams escribió: "Los visitantes de páginas específicas que alojan contenido relacionado con la energía nuclear en el sitio web del Departamento de Trabajo también estaban recibiendo contenido malicioso cargado desde el dominio dol.ns01.us." El sitio de DoL en cuestión ha sido reparado desde entonces.
Ten cuidado allá afuera
El aviso de Microsoft también señala que las víctimas tendrían que ser atraídas a un sitio web para que la explotación sea efectiva. "Sin embargo, en todos los casos, un atacante no tendría forma de obligar a los usuarios a visitar estos sitios web", escribe Microsoft.
Como es posible que se trate de un ataque dirigido, la mayoría de los usuarios probablemente no se encontrarán con el exploit. Sin embargo, si está siendo utilizado por un grupo de atacantes, es probable que otros también tengan acceso al nuevo exploit. Como siempre, ten cuidado con los enlaces extraños y las ofertas demasiado buenas para ser ciertas. En el pasado, los atacantes han utilizado tácticas de ingeniería social como secuestrar cuentas de Facebook para difundir enlaces maliciosos o hacer que parezca que llegan correos electrónicos de miembros de la familia. Es una buena idea hacer una prueba de olfateo de cada enlace.
Microsoft no ha anunciado cuándo ni cómo se abordará la vulnerabilidad.
