Double Kill: vulnerabilidad Zero-Day hallada en ¿Internet Explorer?

La compañía de ciberseguridad china Qihoo ha denunciado la explotación activa de una vulnerabilidad Zero-Day en Internet Explorer. De momento parece que no se tiene una información profunda de la vulnerabilidad, que ha recibido el nombre de double kill (en referencia al hito de conseguir dos muertes con un solo disparo en un videojuego).

Double kill empieza a ser explotada mediante un documento de Microsoft Office específicamente diseñado y que puede llegar a la víctima a través de un email, un método que a estas alturas se puede considerar como "viejo". Una vez abierto el documento, entra en ejecución lo que tendría que ser un código de shell no especificado que ejecuta Internet Explorer en segundo plano, permitiendo la descarga e instalación de un programa de forma inadvertida.

Como ya hemos comentado, Qihoo no ha ofrecido una información muy precisa del problema de seguridad que afecta o involucra a Internet Explorer, así que nos haremos eco de lo que han entendido desde Naked Security:

• Los documentos de ofimática de Microsoft (RTF, DOC, DOCX, XLS, XLSX, PPT y PPTX) pueden ser usados para ejecutar la vulnerabilidad.
• Que los documentos maliciosos tendrían que contener macros o scripts que podrían ser detectados y bloqueados de forma genérica para reducir el riesgo del ataque.
• No queda claro si se requiere utilizar Microsoft Office o bien se podría utilizar otros formatos de documentos y otras aplicaciones, como por ejemplo ficheros PDF o reproductores de vídeos.
• Cómo entra y qué papel juega exactamente Internet Explorer en el ataque.

El diagrama publicado por Qihoo muestra que el documento contiene código de shell y varios DLL que escriben en disco después de ser ejecutado el documento, pero no aparece nada de Internet Explorer. Otros aspectos secundarios mencionados son que el ataque elude el Control de Cuentas de Usuario (UAC), descarga un fichero de imagen con un código ejecutable en su interior y que la ejecución de ese último componente se hace metiéndose directamente en la memoria sin ser guardado en el almacenamiento de datos.

Todo parece indicar que Qihoo ha compartido los detalles de este problema de seguridad con Microsoft, por lo que posiblemente haya que esperar un tiempo hasta tener toda la información, posiblemente hasta después de que la desarrolladora de Internet Explorer haya publicado los parches correspondientes mediante Windows Update.

Fuente: Muy Seguridad