NUEVA VULNERABILIDAD ZERO DAY DEL INTERNET EXPLORER CVE-2018-8174

Se empleó en ataques dirigidos usando documento RTF malicioso de Microsoft Office

A finales de abril pasado, Kaspersky Lab detectó un exploit previamente desconocido que, tras ser analizado por los expertos de la compañía, resultó estar usando una vulnerabilidad de día cero CVE-2018-8174 para el Internet Explorer y que se empleó en ataques con documentos RTF maliciosos de Microsoft Office

 


Foto: Reuters

 

Kaspersky señaló que un hecho particularmente interesante fue que el exploit del Internet Explorer fue descargado en un documento de Microsoft Word, que es el primer caso conocido de dicha técnica.

En un comunicado, la firma de seguridad cibernética destacó también que una versión de Microsoft Word completamente actualizada fue atacada con éxito.

Tras el descubrimiento, Kaspersky Lab informó sobre esa vulnerabilidad a Microsoft y el parche con la corrección está disponible desde la víspera en la página de Microsoft:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8174

Santiago Pontiroli, analista de seguridad de Kaspersky Lab, dijo que lo que se descubrió es una vulnerabilidad de código remoto “día cero” que significa que “antes de que fuera descubierta, se supone que nadie la conocía, ni siquiera Microsoft, y lo que produce es que todos están expuestos a un tipo de ataque que aproveche esta vulnerabilidad”.

“Que sea de un código remoto significa que un atacante puede, aprovechando esta falla, obtener acceso de ejecución de código en el equipo de la víctima, es decir, puede aprovechar para ejecutar cualquier tipo de aplicación que el quiera, es decir, obtener acceso total al equipo”, explicó a Notimex.

De acuerdo con la compañía, un exploit es un tipo de software que aprovecha un error o vulnerabilidad en otro software para infectar a las víctimas con código malicioso.

Los exploits son ampliamente utilizados tanto por ciberdelincuentes, que buscan ganancias, como por medios más complejos respaldados por estados con fines maliciosos, detalló.

En este caso, el exploit identificado se basa en el código malicioso que ataca la vulnerabilidad de día cero, un error típico de use-after-free (UAF) cuando un código ejecutable legítimo, como el del Internet Explorer, presenta una lógica incorrecta de procesamiento de memoria.

Indicó que un análisis más profundo de los exploits ha demostrado que la cadena de infección inicia cuando la víctima recibe el documento RTF malicioso de Microsoft Office; después de abrir el documento, se descarga la segunda etapa del exploit: una página HTML con código malicioso; el código desencadena la corrupción de memoria por el error UAF y entonces se ejecuta con una descarga maliciosa.

“Esta técnica, hasta que se solucionó, permitía a los delincuentes forzar la carga de Internet Explorer sin importar qué navegador usara normalmente, aumentando así aún más una superficie de ataque que ya era enorme”, señaló Anton Ivanov, investigador de seguridad para Kaspersky Lab.

Afortunadamente, abundó, el descubrimiento proactivo de la amenaza ha llevado a la publicación oportuna del parche de seguridad de Microsoft.

Instamos a las organizaciones y usuarios privados a instalar de inmediato los parches  indicados al respecto, ya que no pasará mucho tiempo antes de que los ataques a esta vulnerabilidad lleguen a los kits de exploits populares y sean utilizados no solo por agentes avanzados de amenazas, sino también por cibercriminales comunes.

 

Ver información original al respecto en Fuente :
http://www.economiahoy.mx/telecomunicacion-tecnologia-mx/noticias/9127479/05/18/Kaspersky-encuentra-vulnerabilidad-de-dia-cero-para-Internet-Explorer.html

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.