Se ha desatada una nueva alerta por una vulnerabilidad de Internet Explorer 7 en combinación con archivos del editor de texto Microsoft Word. Si bien esta alerta es relativamente nueva, la vulnerabilidad de Internet Explorer 7 no lo es, dado que hace aproximadamente 3 semanas fue descubierta e inclusive ya parchada por el equipo de soporte de Microsoft.

La parte curiosa de esta nueva alerta la informan algunos de los laboratorios de las firmas antivirus más prestigiosas del mundo, dado que el peligro se está presentando tiempo después de que la vulnerabilidad ya ha sido parchada. Esta aparente nueva modalidad de atacar se basa en que los atacantes aprovechan las vulnerabilidades ya detectadas por el fabricante del software sin siquiera descubrirlas por ellos mismos: Esperan a que el fabricante lance el correspondiente parche para ciertas vulnerabilidades, le es aplicada ingeniería inversa al parche para descubrir las zonas del código que el mismo corrige, y en base a esa información explotan la vulnerabilidad ya con conocimiento previo.

La oleada de ataques se están dando gracias a una vulnerabilidad descubierta tiempo atrás por Microsoft, informada en el boletín de seguridad MS09-002 de la empresa de Redmond en donde además se liberó el parche que solucionaba esta y otras vulnerabilidades críticas de su navegador Internet Explorer 7. Sin embargo -y a pesar de los parches liberados- millones de usuarios en todo el mundo suelen tardar un rango de hasta 2 meses en actualizar sus productos de software con las nuevas correcciones y parches, y son estas situaciones las que aprovechan los atacantes para hacer uso de vulnerabilidades ya descubiertas y con parche oficial, pero que los usuarios no han corregido por diversas circunstancias.

En este concreto caso, los atacantes hacen uso de un archivo del procesador de texto Microsoft Word que contiene en su interior un control ActiveX, que se ejecuta al momento de abrir dicho documento de Word. El control ActiveX lleva al usuario -a través de Internet Explorer 7- a un sitio web cargado con código malicioso que se ejecuta en el navegador y permite infectar y tomar posesión del equipo. De igual forma que todos los malwares recientes, el de este caso descarga componentes de si mismo y roba información confidencial de la víctima.

Más información en Hispasec.


Te gustó esta info?