14 feb 2014

Nuevo Zero Day en IE 10, utilizado en Watering Hole Attack

Los investigadores de seguridad de FireEye han descubierto un nuevo exploit IE 10 Zero-Day (CVE-2014-0322), que está siendo utilizado en un ataque de Watering Hole Attack y siendo servida desde el sitio web de U.S. Veterans of Foreign Wars (vfw[.]org), agregando un iFrame.


Apodada "Operación SnowMan" por FireEye, el objetivo del ataque  se centra en IE 10 con Adobe Flash Player, sobre el cual se coordina el resto del ataque.

FireEye cree que los atacantes detrás de la campaña, operan desde China y están asociados con dos campañas previamente identificadas como Operación DeputyDog y Operación Ephemeral Hydra.
Tras el descubrimiento de la falla, Jerome Segura de la empresa Malwarebytes fue capaz de reproducir una infección exitosa en Windows 7 con Internet Explorer 10 y la última versión de Flash Player. Como señala Segura, el fallo de seguridad es "un error de uso después de liberación (use-after-free) que da el atacante acceso directo a la memoria en una dirección arbitraria, usando un archivo corrupto de Adobe Flash, siendo capaz de pasar la protección Space Layout Randomization (ASLR) y Data Execution Prevention (DEP)".

Para mitigar el ataque se recomienda el uso de la herramienta gratuia Microsoft EMET o actualizar a IE 11.

Actualización 20/02: Microsoft ha confirmado la vulnerabilidad, con CVE-2014-0322, que afecta a las versiones 9 y 10 del navegador Internet Explorer. La firma de Redmond ha publicado un aviso, en el que ofrece contramedidas e información para por lo menos de forma temporal prevenir ser afectados por este problema. Se ha bautizado al parche, en forma de Fix It, como "MSHTML Shim Workaround" que se encuentra disponible desde http://technet.microsoft.com/en-us/security/advisory/2934088. Microsoft además recomienda instalar este Fix hasta que se publique la actualización definitiva.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!