O Centro de Resposta de Segurança da Microsoft emitiu um alerta informando sobre a existência de uma vulnerabilidade zero-day no Internet Explorer que está sendo usada ativamente por cibercriminosos para realizar ataques. A falha, listada como CVE-2020-0674, ainda não foi corrigida. A empresa destacou que está trabalhando para corrigir o problema.
Security Advisory - Microsoft Guidance on Scripting Engine Memory Corruption - for more information please visit: https://t.co/C3W9Y6saTu
— Security Response (@msftsecresponse) January 17, 2020
Segundo o alerta, a vulnerabilidade está na maneira como o mecanismo de scripting administra objetos na memória interna do Internet Explorer. Um atacante pode corromper a memória para executar o código arbitrariamente. Caso um atacante consiga explorar a falha, ele poderá obter as mesmas permissões que o usuário atual; portanto, caso o usuário efetue login como administrador, o atacante também terá essas permissões e poderá assumir o controle do sistema afetado para instalar programas, modificar ou excluir informações ou até mesmo criar novas contas, explicou a Microsoft.
Considerando isso, um cibercriminoso pode criar um site especialmente projetado para explorar a vulnerabilidade por meio desse navegador e convencer o usuário a visitar o site, por exemplo, através de um e-mail, destacou a empresa.
Todas as versões do Windows são afetadas por essa vulnerabilidade zero-day. Em alguns casos, o impacto da falha é considerado moderado, enquanto que em várias versões do Windows 10 o bug no Internet Explorer 11 é considerado crítico. Para mais detalhes sobre as versões do navegador e sistema operacional afetados, clique aqui. É importante destacar que o Windows 7, que já não conta com suporte da Microsoft, também é afetado pela falha.
A empresa revelou que está ciente da existência de ataques que tentam explorar essa falha, mas, de acordo com alguns meios de comunicação, não se sabe se a Microsoft esperará até o próximo mês para enviar o patch junto com o pacote de atualização mensal ou se fará uma exceção.
Este mês, especialistas também relataram a existência de outra vulnerabilidade zero-day que afetou navegadores como o Firefox e que, segundo explicou a Mozilla, também foi usada por cibercriminosos para realizar ataques direcionados. Diferente da falha no Internet Explorer, a vulnerabilidade no Firefox já foi corrigida na última atualização disponível.