-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
-------------------------------------------------------------------
Hispasec - una-al-día 18/02/2009
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------
Aprovechan vulnerabilidad en Internet Explorer 7 a través de documentos Word
----------------------------------------------------------------------------
Algunas casas antivirus advierten de que una de las últimas
vulnerabilidades de Internet Explorer 7 se está aprovechando activamente
por atacantes para infectar sistemas. Lo curioso no es que un fallo (que
se suponía previamente desconocido) esté siendo aprovechado poco después
de hacerse público. La novedad introducida en este caso, es que se está realizando (ya por segunda vez) el ataque al navegador a través de
documentos en formato Word.
El pasado martes 10 de febrero, en su boletín MS09-002, Microsoft
solucionó dos vulnerabilidades críticas que afectaban sólo a Internet
Explorer 7. Ambas permitían la ejecución de código arbitrario si la
víctima visitase una web especialmente manipulada. Apenas una semana
después de que Microsoft hiciese público el parche, se han detectado los primeros ataques. Una vez con el parche en su poder, los atacantes
aplican ingeniería inversa para conocer las zonas de código que modifica
la actualización, y averiguar los detalles técnicos concretos de la vulnerabilidad para así aprovecharla en su beneficio con exploits.
Normalmente este tipo de vulnerabilidades que permiten ejecución de
código en el navegador necesitan que la víctima visite una web
manipulada. En este caso, además de este vector, los atacantes se están ayudando de un documento Word con un objeto ActiveX incrustado en su
interior. Cuando se interpreta con Word el documento, Internet Explorer
7 visita la web que sí contiene el exploit y se aprovecha la
vulnerabilidad (si la víctima no ha aplicado el parche). Se establece un
paso previo que al parecer puede resultar rentable al atacante: en vez
de inducir a la visita de una página web, se incita al usuario a abrir
un documento que, gracias a su interactividad con el navegador, abrirá
una página web que sí permite infectar al sistema.
La ventaja adicional para los creadores del malware es que esto se
produce de forma transparente al usuario. Pero sólo si se ha sido
descuidado en la configuración de su paquete ofimático. Si se evita la ejecución de macros en Word, el control ActiveX no se instanciará y no
se descargará nada. Por defecto Microsoft bloquea la ejecución de macros
en Office. Obviamente, la visita directa a la página (sin abrir el
documento) también infectará a la víctima siempre que no esté parcheada
y no haya elevado la seguridad de su navegador para evitar la ejecución
de JavaScript en sitios desconocidos.
Una vez infectado, como es habitual, el malware descarga diferentes
componentes y robará información confidencial de la víctima. En
diciembre se dio ya el primer caso de vulnerabilidades en Internet
Explorer 7 aprovechadas a través de documentos Word.
Aunque McAfee habla de que el exploit está "in the wild", en
VirusTotal.com, mientras se redacta este artículo, solo hemos recibido
una muestra que McAfee haya denominado así. Trend Micro, por el
contrario, sugiere que el ataque es todavía limitado. Por firmas (el
sistema de detección que se usa en VirusTotal.com), son los dos únicos antivirus que detectan el archivo DOC por ahora. En cualquier caso, se recomienda actualizar el navegador lo antes posible.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3770/comentar
Más información:
MS09-002 Exploit in the wild uses MSWord Lure
http://www.avertlabs.com/research/blog/index.php/2009/02/17/ms09-002-exploit-in-the-wild-uses-msword-lure/
Another Exploit Targets IE7 Bug
http://blog.trendmicro.com/another-exploit-targets-ie7-bug/
Cumulative Security Update for Internet Explorer (961260)
http://www.microsoft.com/technet/security/bulletin/MS09-002.mspx
Sergio de los Santos
ssantos@hispasec.com
Tal día como hoy:
-----------------
18/02/2008: Salto de restricciones a través del analizador sintáctico de XML en
JRE y JDK 6.x
http://www.hispasec.com/unaaldia/3404
18/02/2007: Ejecución de código a través del Finder de Mac OS X 10.x
http://www.hispasec.com/unaaldia/3039
18/02/2006: Escalada de privilegios a través de in.rexecd en Sun Solaris 10
http://www.hispasec.com/unaaldia/2674
18/02/2005: Desbordamiento de búfer en KDE 3.3
http://www.hispasec.com/unaaldia/2309
18/02/2004: Nuevo gusano Netsky.B
http://www.hispasec.com/unaaldia/1942
18/02/2003: Comprometidos los datos de más de cinco millones de tarjetas de crédito
http://www.hispasec.com/unaaldia/1577
18/02/2002: Microsoft lanza en España su iniciativa STPP
http://www.hispasec.com/unaaldia/1212
18/02/2001: Phil Zimmerman abandona NAi
http://www.hispasec.com/unaaldia/847
18/02/2000: Francia demandará a EE.UU. y al Reino Unido por la red ECHELON
http://www.hispasec.com/unaaldia/479
18/02/1999: Buffer Overflow en "Super"
http://www.hispasec.com/unaaldia/114
-------------------------------------------------------------------
Claves PGP en
http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:
unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:
unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2009 Hispasec
http://www.hispasec.com/copyright
-------------------------------------------------------------------
--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet
telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)