Exploit 0-Day en Internet Explorer

Microsoft está investigando (Advisory 2963983) un nuevo ataque que intentan explotar una vulnerabilidad de ejecución remota de código en Internet Explorer 6 a 11 con Flash habilitado. El CVE asignado es CVE-2014-1776.

La vulnerabilidad reportada por FireEye explota la forma en que Internet Explorer tiene acceso a un objeto que ha sido eliminado de memoria y que no ha sido asignado correctamente (vulnerabiliad "use-after-free").

•  El exploit se está utilizando expresamente en ataques dirigidos;
• El exploit que se está utilizando parece concentrarse en IE9, IE10 y IE11;
• Si bien la vulnerabilidad afecta a Internet Explorer, el exploit depende de dos componentes adicionales: la presencia VML (Vector Markup Language) con el componente vgx.dll y componentes Flash;
• El exploit también hace uso de una técnica bien conocida para explotar Flash y que permite saltear las protecciones de ALSR y DEP
• Al parecer el exploit también funciona con algunas configuraciones de EMET

La siguiente configuración EMET e Internet Explorer puede ayudar a mitigar este exploit:

• EMET 4.1: todos las mitigaciones habilitadas, deephooks/antidetour habilitado
• EMET 5.0TP: todas las mitigaciones activadas (incluyendo ASR / EAF+), deephooks/antidetour habilitado
• Desactivar VML en IE (desregistrar vmx.dll)
• Ejecutar Internet Explorer en "Enhanced Protected Mode", que está disponible para IE10 y IE11

 Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín