Todo apunta a que este julio va a convertirse en un mes
record en
lo que a publicación de
vulnerabilidades críticas se refiere. Por si no
tuviésemos suficiente con todo lo publicado hasta ahora relacionado con
el
Hacking Team y las
vulnerabilidades 0-Day en Flash Player o las solucionadas
recientemente en Java, hoy se han publicado nada menos que cuatro vulnerabilidades de este tipo en el navegador Internet
Explorer.
En qué consisten estas vulnerabilidades
Según la empresa que ha publicado estas
vulnerabilidades,
Zero Day Initiative,
todas ellas permiten la ejecución remota de código por parte de un
atacante en una versión vulnerable de Internet Explorer. Para que el
ataque tenga éxito se necesita la interacción del usuario, ya que se
debe acceder a una página especialmente modificada o abrir un archivo
malicioso. Veamos a continuación en qué consisten cada una de estas
vulnerabilidades:
- ZDI-15-359:
Esta vulnerabilidad está relacionada en la forma en la que Internet
Explorer procesa los arrays que representan celdas en tablas HTML.
Mediante la manipulación de los elementos de un documento un atacante
podría forzar a Internet Explorer que usara memoria una vez sobrepasado
el final de un array de celdas HTML. El atacante podría entonces
utilizar esta vulnerabilidad para ejecutar código en el contexto del
proceso que se esté ejecutando.
- ZDI-15-360:
Esta vulnerabilidad se produce en el manejo de los objetos CAttrArray.
Al manipular los elementos de un documento, un atacante podría forzar a
un puntero suspendido que fuese reutilizado una vez haya sido liberado.
El atacante podría entonces utilizar esta vulnerabilidad para ejecutar
código en el contexto del proceso que se esté ejecutando.
- ZDI-15-361:
Esta vulnerabilidad se produce en el manejo de objetos CCurrentStyle.
Esta ocasión se daría al manipular los elementos de un documento y un
atacante podría forzar a un puntero suspendido que fuese reutilizado una
vez haya sido liberado. El atacante podría entonces utilizar esta
vulnerabilidad para ejecutar código en el contexto del proceso que se
esté ejecutando.
- ZDI-15-362:
Esta vulnerabilidad se produce en el manejo de objetos CTreePos. En
este caso, al manipular los elementos de un documento, un atacante
podría forzar a un puntero suspendido que fuese reutilizado una vez haya
sido liberado. El atacante podría entonces utilizar esta vulnerabilidad
para ejecutar código en el contexto del proceso que se esté ejecutando
Cómo mitigar los posibles daños
Debido a que la publicación de estas vulnerabilidades se ha producido
cuando no existe aún un parche que las solucione (y por eso se
consideran 0-Day) existe la posibilidad de que atacantes intenten
aprovecharlas lo antes posible.
Esto deja a millones de usuarios de Internet Explorer en todo el mundo
expuestos hasta que Microsoft publique el boletín de seguridad
correspondiente. No obstante, se pueden realizar una serie acciones para
mitigar estos posibles ataques:
- Debido a que el atacante debe convencer a su víctima para que acceda
a un enlace o abra un archivo malicioso, la primera línea de defensa es
el usuario. Un usuario prevenido de estas vulnerabilidades debería ser
capaz de reconocer enlaces o archivos sospechosos (adjuntos en un email,
por ejemplo) y evitar pulsar sobre ellos.
- Se puede configurar Internet Explorer para que pregunte al usuario
antes de ejecutar Active Scripting o, directamente, desactivar Active
Scripting en las zonas de seguridad de Internet como en la Intranet
Local, dentro de las configuraciones de Internet de Internet Explorer.
- El Kit de Herramientas de Experiencia de mitigación mejorada (EMET)
de Microsoft ayuda a prevenir la explotación de ciertas
vulnerabilidades, si bien su uso se recomienda especialmente en entornos
corporativos y por administradores con experiencia.
- La utilización de sistemas de bloqueo de exploits como los
integrados en las soluciones de seguridad de ESET permite el bloqueo de
este tipo de códigos, incluso de aquellos que hacen uso de
vulnerabilidades 0-day, basándose en un análisis de comportamiento.
Aunque es probable que no detecten todos los exploits, sí que resulta
una buena primera línea de defensa contra este tipo de ataques.
Conclusión
Parece que no tardaremos en ver cómo estas vulnerabilidades se introducen en los
kits de exploits
más usados. Por eso es importante permanecer informados y aplicar el
parche correspondiente tan pronto como Microsoft lo publique. Mientras
tanto, siempre podemos utilizar temporalmente otros navegadores o
aplicar alguna de las soluciones que hemos ofrecido para mitigar
posibles ataques.