Video: Internet Explorer Bug 2014 (Zero Day Bug) Fix. (Noviembre 2024)
Los investigadores de Exodus Intelligence informaron que podían eludir la solución Fix-It que Microsoft había lanzado el lunes por la última vulnerabilidad de día cero en Internet Explorer.
Si bien Fix-It bloqueó la ruta de ataque exacta utilizada en el ataque contra el sitio web del Consejo de Relaciones Exteriores, los investigadores pudieron "evitar la solución y comprometer un sistema completamente parcheado con una variación del exploit", según la publicación del viernes en El blog Exodus.
Microsoft ha sido informado del nuevo exploit, según la publicación. Los investigadores de Exodus dijeron que no revelarían ningún detalle de su hazaña hasta que Microsoft repare el agujero.
El Fix-It estaba destinado a ser un arreglo temporal mientras la compañía trabajaba en el parche completo para cerrar la actualización de seguridad. Microsoft no ha dicho cuándo estará disponible la actualización completa de Internet Explorer, y no se espera que se incluya en el lanzamiento programado del martes de parches para la próxima semana.
Los usuarios deben descargar e instalar el kit de herramientas Enhanced Mitigation Experience 3.5 de Microsoft "como otra herramienta para ayudar a defender sus sistemas Windows contra varios ataques", escribió Guy Bruneau del Instituto SANS en el blog de Internet Storm Center. Una publicación anterior de ISC había demostrado cómo EMET 3.5 podía bloquear los ataques dirigidos a la vulnerabilidad de IE.
Más sitios comprometidos encontrados
Los investigadores de FireEye identificaron por primera vez la falla de día cero cuando descubrieron que el sitio web del Consejo de Relaciones Exteriores se había visto comprometido y estaba entregando archivos Flash maliciosos a visitantes desprevenidos. Resulta que varios otros sitios políticos, sociales y de derechos humanos en los EE. UU., Rusia, China y Hong Kong también han sido infectados y distribuían malware.
El ataque CFR puede haber comenzado ya el 7 de diciembre, dijo FireEye. Los atacantes usaron today.swf, un archivo malicioso de Adobe Flash, para lanzar un ataque de aerosol de montón contra IE que permitió al atacante ejecutar código de forma remota en la computadora infectada.
Los investigadores de Avast dijeron que dos sitios chinos de derechos humanos, un sitio de periódico de Hong Kong y un sitio científico ruso habían sido modificados para distribuir un Flash que explota la vulnerabilidad en Internet Explorer 8. El investigador de seguridad Eric Romang encontró el mismo ataque al sitio web del fabricante de microturbinas de energía Capstone Turbine Corporation, así como en el sitio perteneciente al grupo disidente chino Uygur Haber Ajanski. La turbina Capstone puede haberse infectado ya desde el 17 de diciembre.
En septiembre, Capstone Turbine había sido modificado para distribuir malware que explotaba una vulnerabilidad diferente de día cero, dijo Romang.
"Potencialmente, los chicos detrás de CVE-2012-4969 y CVE-2012-4792 son iguales", escribió Romang.
Los investigadores de Symantec han relacionado los últimos ataques con el grupo Elderwood que ha utilizado otros defectos de día cero para lanzar ataques similares en el pasado. El grupo reutilizó componentes de la plataforma "Elderwood" y distribuyó archivos Flash similares a sus víctimas, dijo Symantec. El archivo Flash malicioso que infectó a los visitantes de Capston Turbine tenía varias similitudes con el archivo Flash utilizado previamente por la pandilla Elderwood en otros ataques, dijo Symantec.
"Ha quedado claro que el grupo detrás del Proyecto Elderwood continúa produciendo nuevas vulnerabilidades de día cero para su uso en ataques de pozos de agua y esperamos que continúen haciéndolo en el Año Nuevo", según Symantec.
