Microsoft, DHS advierten sobre ataques de día cero dirigidos a IE …



La empresa de software está «consciente de los ataques dirigidos limitados» que explotan una vulnerabilidad de problema de secuencias de comandos en Online Explorer 9, 10 y 11 que anteriormente no se había revelado.

Microsoft advirtió en un aviso publicado el 17 de enero un ataque dirigido contra una vulnerabilidad previamente desconocida en World-wide-web Explorer para dañar la memoria y explotar los sistemas Windows de las víctimas.

La falla, descrita como una vulnerabilidad de corrupción de memoria del motor de secuencias de comandos y designada CVE-2020-0674, permite a un atacante tomar el manage de un sistema Home windows al obligarlo a usar una versión anterior de JavaScript de Microsoft que solo está presente para la compatibilidad con versiones anteriores. Por defecto, Net Explorer no united states la biblioteca dinámica vulnerable, declaró Microsoft.

«La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario real», declaró Microsoft en el documento informativo 200001. «Un atacante que aprovechó la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario true . Si el usuario real ha iniciado sesión con derechos de usuario administrativos, un atacante que haya explotado con éxito la vulnerabilidad podría tomar el handle de un sistema afectado «.

Si bien el ataque es grave, su impacto es limitado porque World wide web Explorer solo es utilizado por un número limitado de usuarios que desean compatibilidad con versiones anteriores de las tecnologías de Microsoft. Actualmente, solo el 2.3% de los visitantes usan World wide web Explorer 11, una de las versiones vulnerables, de acuerdo con W3counter.

La biblioteca susceptible jscript.dll normalmente no se united states, por lo que un atacante debe controlar el sitio net o haber creado una página web que se abra en un navegador susceptible.

«Al convencer a un usuario para que vea un documento HTML especialmente diseñado (es decir, una página website (o) un archivo adjunto de correo electrónico, un archivo PDF, un documento de Microsoft Workplace o cualquier otro documento que admita contenido incrustado del motor de secuencias de comandos de Online Explorer, un atacante puede ejecutar código arbitrario, «Centro de Coordinación CERT de la Universidad Carnegie Mellon declarado en un aviso.

Las empresas que dependen de Web Explorer, una porción mucho más pequeña que hace una década, deberían aplicar la solución recomendada por Microsoft lo antes posible, dice Casey Ellis, fundador y director de tecnología de Bugcrowd.

«En ausencia de un parche, tener una solución es important, y es genial que Microsoft ofrezca alternativas para mitigar el riesgo para los usuarios», dice. «Dado que el Grupo de Análisis de Amenazas de Google informó la vulnerabilidad, es poco possible que Chrome se vea afectado por un error equivalent y sea seguro de usar».

El consejo de usar otro navegador es una protección más viable, principalmente porque otros navegadores ahora son mucho más populares que Microsoft Edge. Actualmente, solo alrededor del 8% de los visitantes world-wide-web utilizan Online Explorer o, más probablemente, Microsoft Edge, de acuerdo con W3Counter.

Esta no es la primera vez que Microsoft ha tenido que luchar para contener los ataques dirigidos a sus motores de scripting más antiguos. Si parece que deja vu, es porque Microsoft parchó una falla related en noviembre. La cuestión, CVE-2019-1429, permitió a los atacantes corromper la memoria del motor de secuencias de comandos utilizando un sitio web especialmente diseñado o un management ActiveX.

Un año antes de eso, otra vulnerabilidad, CVE-2018-8653, afectó el motor de secuencias de comandos de World wide web Explorer, permitiendo a los atacantes ejecutar secuencias de comandos de Visible Fundamental o la versión de JavaScript de Microsoft.

Aunque Microsoft adoptó una recompensa por errores para evitar fallas, los piratas informáticos nacionales y criminales continúan encontrando formas de comprometer los sistemas, planteando la pregunta: si la recompensa por errores de Microsoft no convenció al atacante para vender la información de vulnerabilidad al fabricante del computer software, son errores recompensas efectivas?

Ellis de Bugcrowd defiende las recompensas porque elevan el precio de las hazañas y dan a los investigadores éticos otra razón para revelar problemas.

«Esto no socava las recompensas de errores o la seguridad de crowdsourcing», dice. «La realidad es que, dado que el exploit se ha utilizado en ataques dirigidos limitados, es possible que un comprador ofensivo haya pagado más por él de lo que Microsoft estaba ofreciendo o se desarrolló internamente para uso ofensivo».

Ellis señala que Microsoft acreditó a dos organizaciones por encontrar el último problema.

contenido relacionado

Revisa El borde, La nueva sección de Darkish Looking through para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Con el aumento de las tensiones internacionales, el riesgo cibernético se está calentando para todas las empresas«.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Looking at, MIT&#39s Know-how Evaluate, Common Science y Wired Information. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más strategies





Enlace a la noticia authentic