Todo apunta a que este julio va a convertirse en un mes record en lo que a publicación de vulnerabilidades críticas se refiere. Por si no tuviésemos suficiente con todo lo publicado hasta ahora relacionado con el Hacking Team y las vulnerabilidades 0-day en Flash Player o las solucionadas recientemente en Java, hoy se han publicado nada menos que cuatro vulnerabilidades de este tipo en el navegador Internet Explorer.

En qué consisten estas vulnerabilidades

Según la empresa que ha publicado estas vulnerabilidades, Zero Day Initiative, todas ellas permiten la ejecución remota de código por parte de un atacante en una versión vulnerable de Internet Explorer. Para que el ataque tenga éxito se necesita la interacción del usuario, ya que se debe acceder a una página especialmente modificada o abrir un archivo malicioso. Veamos a continuación en qué consisten cada una de estas vulnerabilidades:

ZDI-15-359: Esta vulnerabilidad está relacionada en la forma en la que Internet Explorer procesa los arrays que representan celdas en tablas HTML. Mediante la manipulación de los elementos de un documento un atacante podría forzar a Internet Explorer que usara memoria una vez sobrepasado el final de un array de celdas HTML. El atacante podría entonces utilizar esta vulnerabilidad para ejecutar código en el contexto del proceso que se esté ejecutando.

ZDI-15-360: Esta vulnerabilidad se produce en el manejo de los objetos CAttrArray. Al manipular los elementos de un documento, un atacante podría forzar a un puntero suspendido que fuese reutilizado una vez haya sido liberado. El atacante podría entonces utilizar esta vulnerabilidad para ejecutar código en el contexto del proceso que se esté ejecutando.

ZDI-15-361: Esta vulnerabilidad se produce en el manejo de objetos CCurrentStyle. Esta ocasión se daría al manipular los elementos de un documento y un atacante podría forzar a un puntero suspendido que fuese reutilizado una vez haya sido liberado. El atacante podría entonces utilizar esta vulnerabilidad para ejecutar código en el contexto del proceso que se esté ejecutando.

ZDI-15-362: Esta vulnerabilidad se produce en el manejo de objetos CTreePos. En este caso, al manipular los elementos de un documento, un atacante podría forzar a un puntero suspendido que fuese reutilizado una vez haya sido liberado. El atacante podría entonces utilizar esta vulnerabilidad para ejecutar código en el contexto del proceso que se esté ejecutando

Cómo mitigar los posibles daños

Debido a que la publicación de estas vulnerabilidades se ha producido cuando no existe aún un parche que las solucione (y por eso se consideran 0-day) existe la posibilidad de que atacantes intenten aprovecharlas lo antes posible.

Esto deja a millones de usuarios de Internet Explorer en todo el mundo expuestos hasta que Microsoft publique el boletín de seguridad correspondiente. No obstante, se pueden realizar una serie acciones para mitigar estos posibles ataques:

  • Debido a que el atacante debe convencer a su víctima para que acceda a un enlace o abra un archivo malicioso, la primera línea de defensa es el usuario. Un usuario prevenido de estas vulnerabilidades debería ser capaz de reconocer enlaces o archivos sospechosos (adjuntos en un email, por ejemplo) y evitar pulsar sobre ellos.
  • Se puede configurar Internet Explorer para que pregunte al usuario antes de ejecutar Active Scripting o, directamente, desactivar Active Scripting en las zonas de seguridad de Internet como en la Intranet Local, dentro de las configuraciones de Internet de Internet Explorer.
  • El Kit de Herramientas de Experiencia de mitigación mejorada (EMET) de Microsoft ayuda a prevenir la explotación de ciertas vulnerabilidades, si bien su uso se recomienda especialmente en entornos corporativos y por administradores con experiencia.
  • La utilización de sistemas de bloqueo de exploits como los integrados en las soluciones de seguridad de ESET permite el bloqueo de este tipo de códigos, incluso de aquellos que hacen uso de vulnerabilidades 0-day, basándose en un análisis de comportamiento. Aunque es probable que no detecten todos los exploits, sí que resulta una buena primera línea de defensa contra este tipo de ataques.

Conclusión

Parece que no tardaremos en ver cómo estas vulnerabilidades se introducen en los kits de exploits más usados. Por eso es importante permanecer informados y aplicar el parche correspondiente tan pronto como Microsoft lo publique. Mientras tanto, siempre podemos utilizar temporalmente otros navegadores o aplicar alguna de las soluciones que hemos ofrecido para mitigar posibles ataques.