Vulnerabilidad en Internet Explorer a través de documentos Word
Posted on | febrero 20, 2009 | No Comments
[ Translate to English ] [ Traduir al català ]Algunas casas antivirus advierten de que una de las últimas vulnerabilidades de Internet Explorer 7 se está aprovechando activamente por atacantes para infectar sistemas.
Los creadores de malware están aprovechando una vulnerabilidad en Internet Explorer 7 a través de documentos Word. Lo curioso no es que un fallo (que se suponÃa previamente desconocido) esté siendo aprovechado poco después de hacerse público. La novedad introducida en este caso, es que se está realizando (ya por segunda vez) el ataque al navegador a través de documentos en formato Word.
El pasado martes 10 de febrero, en su boletÃn MS09-002, Microsoft solucionó dos vulnerabilidades crÃticas que afectaban sólo a Internet Explorer 7. Ambas permitÃan la ejecución de código arbitrario si la vÃctima visitase una web especialmente manipulada. Apenas una semana después de que Microsoft hiciese público el parche, se han detectado los primeros ataques. Una vez con el parche en su poder, los atacantes aplican ingenierÃa inversa para conocer las zonas de código que modifica la actualización, y averiguar los detalles técnicos concretos de la vulnerabilidad para asà aprovecharla en su beneficio con exploits.
Normalmente este tipo de vulnerabilidades que permiten ejecución de código en el navegador necesitan que la vÃctima visite una web manipulada. En este caso, además de este vector, los atacantes se están ayudando de un documento Word con un objeto ActiveX incrustado en su interior. Cuando se interpreta con Word el documento, Internet Explorer 7 visita la web que sà contiene el exploit y se aprovecha la vulnerabilidad (si la vÃctima no ha aplicado el parche). Se establece un paso previo que al parecer puede resultar rentable al atacante: en vez de inducir a la visita de una página web, se incita al usuario a abrir un documento que, gracias a su interactividad con el navegador, abrirá una página web que sà permite infectar al sistema.
La ventaja adicional para los creadores del malware es que esto se produce de forma transparente al usuario. Pero sólo si se ha sido descuidado en la configuración de su paquete ofimático. Si se evita la ejecución de macros en Word, el control ActiveX no se instanciará y no se descargará nada. Por defecto Microsoft bloquea la ejecución de macros en Office. Obviamente, la visita directa a la página (sin abrir el documento) también infectará a la vÃctima siempre que no esté parcheada y no haya elevado la seguridad de su navegador para evitar la ejecución de JavaScript en sitios desconocidos.
Una vez infectado, como es habitual, el malware descarga diferentes componentes y robará información confidencial de la vÃctima. En diciembre se dio ya el primer caso de vulnerabilidades en Internet Explorer 7 aprovechadas a través de documentos Word.
Fuente: www.vnunet.es