El pasado 29 de agosto se detectaba una vulnerabilidad de día cero en el navegador Internet Explorer, que permite tomar el control del ordenador a distancia. Afecta a todas las versiones del navegador IE y facilita la ejecución de códigos de forma remota. Microsoft reconocía la existencia de la vulnerabilidad, denominada CVE-2013-3893, el día 17 de septiembre. Además explicaba que puede permitir a cualquier atacante ejecutar códigos arbitrariamente mientras el usuario está utilizando Internet Explorer. Así, el atacante puede conseguir que el usuario visite un sitio web malicioso diseñado para explotar esa vulnerabilidad. Ese mismo día sacaba un arreglo temporal que mitiga el fallo, pero no lo soluciona de forma permanente. A fecha de hoy, todavía no hay un parche definitivo.
Los ciberdelincuentes llevan explotando esa vulnerabilidad desde el mes de julio, según Websense Security Labs. Pero eso no es lo peor. Este lunes día 30 de septiembre, se incluía un módulo con el exploit en la herramienta de código abierto Metasploit. Aunque está dirigida a profesionales de la seguridad informática, los ciberdelincuentes suelen aprovecharse de ella para extraer los exploits. Eso va a aumentar exponencialmente los ataques, ya que no solamente va a estar disponible para la élite de los hackers. De hecho, al ser un exploit de dominio público que todavía está sin parchear, seguramente entre a formar parte de las herramientas de crimeware comerciales. Con ellas no hace falta programar, ni tener conocimientos avanzados para atacar un sistema.
La vulnerabilidad CVE-2013-3893 afecta a todas las versiones de Internet Explorer, desde la 6 hasta la 11, inclusive. Hasta ahora, las muestras analizadas del exploit en libertad actúan especialmente contra los usuarios de Internet Explorer 8 con Windows XP y contra los equipos con sistema operativo Windows 7 con navegadores Internet Explorer 7 y 8 y que tengan instalados los paquetes ofimáticos Office 2007 y Office 2010. De todos modos, los expertos de seguridad insisten en su alta peligrosidad.
Oficialmente detectada el 29 de agosto en Japón como parte de la Operación DeputyDog, su difusión es más grande lo que parecía al principio. Websense Security Labs, en su informe del 26 de septiembre, destaca que encontraron rastros del 1 de julio relacionados con un ataque a una organización en Taiwán, y pruebas de ataques dirigidos a firmas financieras japonesas. Tras analizar el malware, el tipo de infraestructura y el estilo de las técnicas empleados, la autoría puede atribuirse a cibermercenarios relacionados con la Operación DeputyDog y con el grupo Hidden Lynx, que lleva operando desde el año 2009.
Por su parte, FireEye, otra compañía de seguridad, anunciaba este lunes que la vulnerabilidad no sólo se ha explotado en la Operación DeputyDog, sino en otras tres campañas ejecutadas por grupos de cibermercenarios; en concreto, Web2Crew, Taidoor y th3bug.
Claro que la ha arreglado
En su web se pueden descargar los fixes
Lo que no han hecho ha sido incluirlo todavia como parte del windows update