Algunas casas antivirus advierten de que una de las últimas  vulnerabilidades de Internet Explorer 7 se está aprovechando activamente  por atacantes para infectar sistemas. Lo curioso no es que un fallo (que  se suponía previamente desconocido) esté siendo aprovechado poco después  de hacerse público. La novedad introducida en este caso, es que se está  realizando (ya por segunda vez) el ataque al navegador a través de  documentos en formato Word.
El pasado martes 10 de febrero, en su boletín MS09-002, Microsoft  solucionó dos vulnerabilidades críticas que afectaban sólo a Internet  Explorer 7. Ambas permitían la ejecución de código arbitrario si la  víctima visitase una web especialmente manipulada. Apenas una semana  después de que Microsoft hiciese público el parche, se han detectado los  primeros ataques. Una vez con el parche en su poder, los atacantes  aplican ingeniería inversa para conocer las zonas de código que modifica  la actualización, y averiguar los detalles técnicos concretos de la  vulnerabilidad para así aprovecharla en su beneficio con exploits.

Normalmente este tipo de vulnerabilidades que permiten ejecución de  código en el navegador necesitan que la víctima visite una web  manipulada. En este caso, además de este vector, los atacantes se están  ayudando de un documento Word con un objeto ActiveX incrustado en su  interior. Cuando se interpreta con Word el documento, Internet Explorer  7 visita la web que sí contiene el exploit y se aprovecha la  vulnerabilidad (si la víctima no ha aplicado el parche). Se establece un  paso previo que al parecer puede resultar rentable al atacante: en vez  de inducir a la visita de una página web, se incita al usuario a abrir  un documento que, gracias a su interactividad con el navegador, abrirá  una página web que sí permite infectar al sistema.

La ventaja adicional para los creadores del malware es que esto se  produce de forma transparente al usuario. Pero sólo si se ha sido  descuidado en la configuración de su paquete ofimático. Si se evita la  ejecución de macros en Word, el control ActiveX no se instanciará y no  se descargará nada. Por defecto Microsoft bloquea la ejecución de macros  en Office. Obviamente, la visita directa a la página (sin abrir el  documento) también infectará a la víctima siempre que no esté parcheada  y no haya elevado la seguridad de su navegador para evitar la ejecución  de JavaScript en sitios desconocidos.

Una vez infectado, como es habitual, el malware descarga diferentes  componentes y robará información confidencial de la víctima. En  diciembre se dio ya el primer caso de vulnerabilidades en Internet  Explorer 7 aprovechadas a través de documentos Word.

Aunque McAfee habla de que el exploit está “in the wild”, en  VirusTotal.com, mientras se redacta este artículo, solo hemos recibido  una muestra que McAfee haya denominado así. Trend Micro, por el  contrario, sugiere que el ataque es todavía limitado. Por firmas (el  sistema de detección que se usa en VirusTotal.com), son los dos únicos  antivirus que detectan el archivo DOC por ahora. En cualquier caso, se  recomienda actualizar el navegador lo antes posible.

Opina sobre esta noticia:
http://www.hispasec...aaldia/3770/comentar

Más información:

MS09-002 Exploit in the wild uses MSWord Lure
http://www.avertlab...ld-uses-msword-lure/

Another Exploit Targets IE7 Bug
http://blog.trendmi...oit-targets-ie7-bug/

Cumulative Security Update for Internet Explorer (961260)
http://www.microsof...lletin/MS09-002.mspx

Sergio de los Santos
ssantos arroba hispasec.com

Fuente: http://hispasec.com

Entradas relacionadas

1. El filtro XSS de Internet Explorer 8 sigue siendo vulnerable
2. Mozilla: “La extensión de Google para Internet Explorer es una sopa”
3. Problemas de seguridad en Internet Explorer
4. Windows 7 hará posible eliminar Internet Explorer
5. Opera exige que Internet Explorer sea totalmente eliminado de Windows