Seguridad al alcance de todos!


martes, 1 de mayo de 2018

Double Kill - ¿vulnerabilidad Zero-Day en Internet Explorer?


Internet Explorer nunca ha tenido buena fama entre los usuarios con conocimientos medios o superiores de informática. Los principales motivos de por qué esta aplicación era vilipendiada fueron su incompatibilidad con los estándares de la W3C y sus constantes problemas de seguridad, que muchas veces se veían agravados por la poca diligencia de los usuarios a la hora de actualizar.

Aunque Internet Explorer está lejos de sus tiempos de gloria en lo que a cuota de mercado se refiere, esto no quiere decir que haya dejado de ser un objetivo por parte de hackers y cibercriminales. La compañía de ciberseguridad china Qihoo ha denunciado la explotación activa de una vulnerabilidad zero-day en Internet Explorer. De momento parece que no se tiene una información profunda de la vulnerabilidad, que ha recibido el nombre de double kill (en referencia al hito de conseguir dos muertes con un solo disparo en un videojuego).

Double kill empieza a ser explotada mediante un documento de Microsoft Office específicamente diseñado y que puede llegar a la víctima a través de un email, un método que a estas alturas se puede considerar como “viejo”. Una vez abierto el documento, entra en ejecución lo que tendría que ser un código de shell no especificado que ejecuta Internet Explorer en segundo plano, permitiendo la descarga e instalación de un programa de forma inadvertida.

Como ya hemos comentado, Qihoo no ha ofrecido una información muy precisa del problema de seguridad que afecta o involucra a Internet Explorer, así que nos haremos eco de lo que han entendido desde Naked Security:

  •  Los documentos de ofimática de Microsoft (RTF, DOC, DOCX, XLS, XLSX, PPT y PPTX) pueden ser usados para ejecutar la vulnerabilidad.
  • Que los documentos maliciosos tendrían que contener macros o scripts que podrían ser detectados y bloqueados de forma genérica para reducir el riesgo del ataque.
  •  No queda claro si se requiere utilizar Microsoft Office o bien se podría utilizar otros formatos de documentos y otras aplicaciones, como por ejemplo ficheros PDF o reproductores de vídeos.
  •  Cómo entra y qué papel juega exactamente Internet Explorer en el ataque.

El diagrama publicado por Qihoo muestra que el documento contiene código de shell y varios DLL que escriben en disco después de ser ejecutado el documento, pero no aparece nada de Internet Explorer. Otros aspectos secundarios mencionados son que el ataque elude el Control de Cuentas de Usuario (UAC), descarga un fichero de imagen con un código ejecutable en su interior y que la ejecución de ese último componente se hace metiéndose directamente en la memoria sin ser guardado en el almacenamiento de datos.

Todo parece indicar que Qihoo ha compartido los detalles de este problema de seguridad con Microsoft, por lo que posiblemente haya que esperar un tiempo hasta tener toda la información, posiblemente hasta después de que la desarrolladora de Internet Explorer haya publicado los parches correspondientes mediante Windows Update.


Referencia:

https://www.muyseguridad.net/2018/04/25/double-kill-zero-day-internet-explorer/
https://nakedsecurity.sophos.com/2018/04/25/mysterious-double-kill-ie-zero-day-allegedly-in-the-wild/


Compartir:

Siguenos en Facebook

Patagonia Hacking

Etiquietas

4GLTE ACS Actualidad Actualizaciones ADB Adblocker Adguard Adobe Adware Amazon AMD Analitica Android AndroidP Annabelle App Store Apple Argentina ARM ARPSpoofing ASA Assa Abloy Asus ATM Auditoria Australia Auth0 Avast Aviso AWS Azure Sphere backdoor Banco de Chile Bancos Banking Bitcoins Blackberry BlackEnergy Blizzard BlockChain Botnet Brambul Bromas Bug Bug Bounty Cambridge Analytica Cambrige Analytica CannibalRAT CERT Certificados Challenge Chile China Chrome CIA CiberAtaques CiberCrimen CiberEjercito CiberEspionaje CiberGuerra CiberSeguridad Cifrado Cisco Cisco DNA Cisco Talos CloudFlare Coca-Cola CoinHive Colegio Combojack Copiapo Corfo Correo correos Cortana CredSSP Criptografía Criptomonedas CryptoMonedas Cryptovirus CSP CVE Cyberbit D-Link DASAN Database Databreach DDOS DefaultPassword Defensa DHCP DHS DigiCert Digital Shadows Dmitri Kaslov DNS DNS Spoofing Dockers Dofoil Doppelganging DPI DrayTek dropbox Drupal Drupalgeddon DrWeb EarlyBird Eclypsium Educación eFail EFF Electron Electroneum Equifax ESNIC Espionaje EstadosUnidos Etherium Ethical Hacking Europol Excel Exploit Exposición de Datos Extensión Chrome F5 Facebook Falla Fallo FBI FBS FedEx Fingerprint Finlandia Firebase Firewall FlawsCloud FlightRadar24 FortiGuard Fortinet Fortnite GandCrab Git GitHub Google google chrome Google Drive Google Play Google Proyect Zero Gpg Gpon Hackers Hacking hcsshim HDD Hidden Cobra Hispasec Hoteles HTTP Injector Huawei IBM idleBuddy IE Ingenieria Social Instagram Intel Internet InternetExplorer IonCube iOS Iot Iran Irán ISO/IEC JavaScript Joanap JSCRIPT Juegos Junos OS Kali Kane Gamble Karim Baratov Kaspersky KillDisk Kronos leaks Lenovo linkedin Linux Luka MAC MacOS Magento Mails Malware MalwareHunterTeam MalwareTech MBR MBRLock McAfee Medicina Meltdown Memcached Microsoft Mikrotik Millennials Mirai MitM Mobef Monero Mozilla Municipios My Cloud MySql NanoCore Nas Netflix Neutralidad Never Defender NewSky Security Nintendo Noticias Noticias. NSA NTLM NYT OceanLotus Office Omni OpenSSL Oracle OrangeWorm Outlook Owari OWASP PDF PenTestPartner PGP Phishing PHP PoC PornHub PowerHammer Privacidad Profinet PsicoHacking Python Qihoo360 QNAP Radware ransomware RAT RBL RCE RDP Recompensas Reconocimiento Facial RedDrop Redes RedHat RGPD Roaming Mantis Router Routers Rumanía. Rusia Salud SAMBA Samsung SAP Satori Saturn SCADA screenlocker ScreenOS SecurityList Segurdad Seguridad Seguridad Informatica Sev shodan Signal Sistemas Operativos SiteLock skype SlingShot SMB SMIME SMM Softzone Sonido Sophos Sora Spam Spectre Squid SSLER StalinLocker Switches SWITF Symantec Taiwan Tecnologia Telegram The Shadow Brokers TheMoon ThunderBird TLS Tor Torrent Transmission TrendMicro Troyanos Trustico TrustJacking Tutorial Twitter Ubiquiti Ubuntu UltraSonido Unix UPnP Noticias UPVel Utorrent Vault7 videojuegos VingCard Virus VM VPN VPNFilter VPNHub VRP Vulnerabilidad Vulnerabilidades Wandera WannaCry Watchguard WaveThrough Webinars WeChat Western Digital WhatsApp Wicked WIFI Windows Windows 10S Windows Defender Windows Remote Assistance Windows Vulnerabilidad WindowsUpdate WinstarNssmMiner Wireless Ruckus WordPress WPA3 wpscan XSS Yahoo Youtube Z-shave Z-wave ZDI ZeroDays ZeroFont ZTE

Historial

Vistas a la página totales