Microsoft advierte sobre Internet Explorer de día cero, pero aún no hay parche

Microsoft ha publicado hoy un aviso de seguridad sobre una vulnerabilidad de Internet Explorer (IE) que actualmente se está explotando en la naturaleza, un llamado día cero.

El aviso de seguridad de la compañía (ADV200001) actualmente solo incluye soluciones alternativas y mitigaciones que se pueden aplicar para proteger los sistemas vulnerables de los ataques.

En el momento de escribir este artículo, no hay ningún parche para este problema. Microsoft dijo que estaba trabajando en una solución, que se lanzaría en una fecha posterior.

Mientras que Microsoft dijo que era consciente de que el IE zero-day estaba siendo explotado en la naturaleza, la compañía describió estos como “ataques dirigidos limitados”, lo que sugiere que el día cero no fue ampliamente explotado, sino que fue parte de ataques dirigidos a un pequeño número de usuarios.

Se cree que estos ataques de día cero de IE limitados son parte de una campaña de hacking más grande, que también involucra ataques contra usuarios de Firefox.

Conectado a Firefox zero-day

La semana pasada, Mozilla parcheó un zero-day similar que estaba siendo explotado para atacar a los usuarios de Firefox. Mozilla acreditó a Qihoo 360 por descubrir y reportar el Firefox zero-day.

En un tweet ahora eliminado, la empresa china de ciberseguridad dijo que los atacantes también estaban explotando un día cero de Internet Explorer. Este parece ser el día cero que los investigadores de Qihoo 360 mencionaron en ese momento.

No se ha compartido información sobre el atacante o la naturaleza de los ataques. Qihoo 360 no devolvió una solicitud de comentarios buscando información sobre los ataques.

RCE en IE

A nivel técnico, Microsoft describió este IE zero-day como un defecto de ejecución de código remoto (RCE) causado por un error de corrupción de memoria en el motor de scripting de IE, el componente del navegador que maneja el código JavaScript.

A continuación se muestra la descripción técnica de Microsoft de este día cero:

Existe una vulnerabilidad de ejecución de código remoto en la forma en que el motor de scripts maneja los objetos en memoria en Internet Explorer. La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que explotara con éxito la vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual ha iniciado sesión con derechos de usuario administrativos, un atacante que explotó correctamente la vulnerabilidad podría tomar el control de un sistema afectado. Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario completos.

En un escenario de ataque basado en la web, un atacante podría alojar un sitio web especialmente diseñado para explotar la vulnerabilidad a través de Internet Explorer y luego convencer a un usuario para que vea el sitio web, por ejemplo, enviando un correo electrónico.

Todas las versiones de SO de servidor y escritorio de Windows compatibles se ven afectadas, dijo Microsoft.

Este IE RCE de día cero también se rastrea como CVE-2020-0674.

Microsoft parcheó dos IE zero-days similares en septiembre y noviembre de 2019. Aunque IE ya no es el navegador predeterminado en las últimas versiones del sistema operativo Windows, el navegador sigue instalado con el sistema operativo. Los usuarios de versiones anteriores de Windows son los que están en mayor riesgo.