Global Preloader
Vulnerabilidad
(26/Apr/2018) Double kill, una vulnerabilidad zero-day encontrada en Internet Explorer

Double kill, una vulnerabilidad zero-day encontrada en Internet Explorer

La compañía china de ciberseguridad "Qihoo" ha denunciado la explotación activa de una vulnerabilidad zero-day en Internet Explorer. No se tiene una información profunda de la vulnerabilidad, que ha recibido el nombre de double kill.

Double kill empieza a ser explotada mediante un documento de Microsoft Office específicamente diseñado y que puede llegar a la víctima a través de un email. Una vez abierto el documento, entra en ejecución un código de shell no especificado que ejecuta Internet Explorer en segundo plano, permitiendo la descarga e instalación de un programa de manera inadvertida.

Como no se tiene una información muy precisa de la vulneravilidad, mencionaremos lo que se ha entendido desde Naked Security:

-Los documentos de ofimática de Microsoft (RTF, DOC, DOCX, XLS, XLSX, PPT y PPTX) pueden ser usados para ejecutar la vulnerabilidad.

-Los documentos maliciosos tendrían que contener macros o scripts que podrían ser detectados y bloqueados de forma genérica para reducir el riesgo del ataque.

-No queda claro si se requiere utilizar Microsoft Office o bien se podría utilizar otros formatos de documentos y otras aplicaciones, como por ejemplo ficheros PDF o reproductores de vídeos.

-Cómo entra y qué papel juega exactamente Internet Explorer en el ataque.

El diagrama publicado por Qihoo muestra que el documento contiene código de shell y varios DLL que escriben en disco después de ser ejecutado el documento, pero no aparece nada de Internet Explorer.

Otros aspectos secundarios mencionados son que el ataque elude el Control de Cuentas de Usuario (UAC), descarga un fichero de imagen con un código ejecutable en su interior y que la ejecución de ese último componente se hace metiéndose directamente en la memoria sin ser guardado en el almacenamiento de datos.

Tal parece que Qihoo ya ha compartido los detalles de este problema de seguridad con Microsoft, por lo que posiblemente los desarrolladores de Internet Explorer publicaran los parches correspondientes mediante Windows Update.