Fuente: SearchSecurity.com

Una vulnerabilidad de día cero en Internet Explorer fue utilizada por hackers en una reciente serie de ataques dirigidos en contra de Google, Adobe y otras empresas, según un aviso publicado por Microsoft la noche del jueves.

Microsoft no ha visto un impacto amplio sobre los usuarios, sólo ataques limitados y orientados a explotar IE 6 en este momento.

Mike Reavey
gerente de grupo de Microsoft Security Response Center

El gigante del software dijo que estaba cooperando con Google y otras empresas y proporcionando información a los investigadores. La vulnerabilidad de ejecución remota de código afecta a casi todas las versiones de Internet Explorer ejecutado en casi todas las versiones de Windows. Internet Explorer 5.01 en Windows 2000 no se ve afectado.

“Microsoft no ha visto un impacto amplio sobre los usuarios, sólo ataques limitados y orientados a explotar IE 6 en este momento”, escribió Mike Reavey, gerente de grupo de Microsoft Security Response Center, en el blog de MSRC. “Nuestros equipos están trabajando actualmente para desarrollar una actualización y tomaremos las medidas apropiadas para proteger a los clientes cuando la actualización haya alcanzado el nivel de calidad adecuado para una amplia distribución.”

Los ataques contra las redes corporativas específicas son cada vez más frecuente, Reavey dijo, instando a las empresas a implementar múltiples capas de defensa para mejorar su postura de seguridad. Google y Adobe reconocieron en mensajes separados esta semana que sus sistemas corporativos habían sido blanco de los hackers que utilizan sofisticadas tácticas de ingeniería social. McAfee dijo que sus investigadores descubrieron la vulnerabilidad de día cero en IE durante un análisis de los programas maliciosos utilizados en los ataques.

En su aviso, Microsoft dijo que los clientes podrían mitigar la amenaza planteada por el defecto de día cero en IE mediante el establecimiento de la configuración de la zona de seguridad de la intranet local en alta y utilizar el modo protegido en IE 7 en Windows Vista y posteriores. El mayor valor de zona de seguridad hace que el navegador valide con el usuario antes de ejecutar controles ActiveX y Active Scripting. Además, Data Execution Prevention (DEP) se puede habilitar para ayudar a mitigar los ataques en línea. DEP se habilita de forma predeterminada en IE 8, pero debe ser activado manualmente en las versiones anteriores, Reavey dijo.

“La vulnerabilidad existe como una referencia de puntero no válida en Internet Explorer. Es posible bajo determinadas condiciones acceder a un puntero no válido luego de eliminar un objeto.”, Dijo Microsoft en su aviso. “En un ataque especialmente diseñado, al tratar de acceder a un objeto liberado, Internet Explorer podría permitir la ejecución remota de código.”

La falla es explotada mediante la creación de contenido especialmente diseñado en un sitio de ataque. Microsoft dijo que el atacante tendría que lograr que el usuario visite el sitio web engañándole para que haga clic en un vínculo de un mensaje de correo electrónico.

“También podría ser posible la visualización de contenido web diseñado especialmente mediante banners de anuncios u otros métodos para hacer llegar contenido Web a los sistemas afectados”, dijo Microsoft.