Kaspersky Lab detecta una vulnerabilidad de día cero para Internet Explorer

Kaspersky Lab detecta una vulnerabilidad de día cero para Internet Explorer

Expertos aseguran que el exploit se utilizó en ataques dirigidos.

El equipo de Kaspersky Lab anunció que a finales del mes pasado detectaron un exploit previamente desconocido que utiliza una vulnerabilidad de día cero CVE-2018-8174 para Internet Explorer.

De acuerdo al análisis de expertos, esta vulnerabilidad se utilizó en ataques dirigidos.

Como sabrán un exploit es un tipo de software que aprovecha un error o vulnerabilidad en otro software para infectar a las víctimas con código malicioso, y en esta caso llama la atención que el exploit de Internet Explorer fue descargado en un documento de Microsoft Word para convertirse en el primer caso conocido de dicha técnica.

Incluso se probó en una versión de Word actualizada y se pudo realizar el ataque con éxito, todo en base al exploit que aprovecha un error típico de use-after-free. A continuación pueden ver los pasos de la cadena de infección:

  • La víctima recibe el documento RTF malicioso de Microsoft Office;
  • Después de abrir el documento malicioso, se descarga la segunda etapa del exploit: una página HTML con código malicioso;
  • El código desencadena la corrupción de memoria por el error UAF;
  • Entonces se ejecuta el shellcode que descarga la carga maliciosa.

Anton Ivanov de Kaspersky Lab comentó, "Esta técnica, hasta que se solucionó, permitía a los delincuentes forzar la carga de Internet Explorer, sin importar qué navegador usara normalmente, aumentando así aún más una superficie de ataque que ya era enorme. Afortunadamente, el descubrimiento proactivo de la amenaza ha llevado a la publicación oportuna del parche de seguridad de Microsoft. Instamos a las organizaciones y usuarios privados a instalar de inmediato los parches recientes, ya que no pasará mucho tiempo antes de que los ataques a esta vulnerabilidad lleguen a los kits de exploits populares y sean utilizados no solo por agentes avanzados de amenazas, sino también por cibercriminales comunes."

Desde este enlace pueden descargar el parche que corrige la vulnerabilidad.