Microsoft advierte sobre World wide web Explorer de día cero, pero aún no hay parche


Internet Explorer IE

Microsoft ha publicado hoy un aviso de seguridad sobre una vulnerabilidad de Internet Explorer (IE) que actualmente se está explotando en la naturaleza: el llamado día cero.

El aviso de seguridad de la empresa (ADV200001) actualmente solo incluye soluciones y mitigaciones que se pueden aplicar para proteger los sistemas vulnerables de los ataques.

Al momento de escribir, no hay parche para este problema. Microsoft dijo que estaba trabajando en una solución, que se lanzará en una fecha posterior.

Si bien Microsoft dijo que sabía que el día cero de IE estaba siendo explotado en la naturaleza, la compañía describió estos como «ataques dirigidos limitados», sugiriendo que el día cero no fue ampliamente explotado, sino que period parte de los ataques destinados a Un pequeño número de usuarios.

Se cree que estos ataques de día cero de IE limitados son parte de una campaña de piratería más grande, que también implica ataques contra usuarios de Firefox.

Conectado al día cero de Firefox de la semana pasada

La semana pasada, Mozilla parchó un día cero similar que estaba siendo explotado para atacar a los usuarios de Firefox. Mozilla acreditó a Qihoo 360 por descubrir e informar el día cero de Firefox.

En un tuit ahora eliminado, la empresa de seguridad cibernética china dijo que los atacantes también estaban explotando un Web Explorer de día cero. Este parece ser el día cero que los investigadores de Qihoo 360 mencionaron en ese momento.

No se ha compartido información sobre el atacante o la naturaleza de los ataques. Qihoo 360 no devolvió una solicitud de comentarios en busca de información sobre los ataques.

RCE en IE

A nivel técnico, Microsoft describió este día cero de IE como una falla de ejecución remota de código (RCE) causada por un mistake de corrupción de memoria en el motor de secuencias de comandos de IE, el componente del navegador que maneja el código JavaScript.

A continuación se muestra la descripción técnica de Microsoft de este día cero:

Existe una vulnerabilidad de ejecución remota de código en la forma en que el motor de secuencias de comandos maneja los objetos en la memoria en World-wide-web Explorer. La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario precise. Si el usuario actual ha iniciado sesión con derechos de usuario administrativos, un atacante que haya explotado con éxito la vulnerabilidad podría tomar el control de un sistema afectado. Un atacante podría instalar programas ver, cambiar o eliminar datos o crear nuevas cuentas con plenos derechos de usuario.

En un escenario de ataque basado en la web, un atacante podría alojar un sitio world wide web especialmente diseñado para aprovechar la vulnerabilidad a través de Net Explorer y luego convencer a un usuario para que vea el sitio internet, por ejemplo, enviando un correo electrónico.

Microsoft dijo que todas las versiones compatibles de escritorio de Windows y SO de servidor se ven afectadas.

Este día cero de IE RCE no tiene un identificador CVE asignado en este momento.

Microsoft parchó dos IE cero días similares en septiembre y noviembre de 2019. Aunque IE ya no es el navegador predeterminado en las últimas versiones del sistema operativo Home windows, el navegador todavía está instalado con el sistema operativo. Los usuarios de versiones anteriores de Windows son los que están más expuestos.



Enlace a la noticia first