Descubrieron un exploit que aprovecha una vulnerabilidad crítica en Internet Explorer de varias versiones. Permite la ejecución remota de código arbitrario y que está siendo usada por atacantes.

Afecta a las versiones 7, 8 y 9 del navegador en todas las versiones del sistema operativo.

Se ha descubierto una vulnerabilidad en Internet Explorer, previamente desconocida y que está siendo aprovechada por atacantes. Uno de los datos más curiosos es cómo fue descubierto por el investigador Eric Romang (@eromang), y que indica que este 0-day podría estar relacionado por los mismos autores de la grave vulnerabilidad en Java de hace solo unas semanas.

Después del descubrimiento del problema en Java, Eric Romang monitorizaba regularmente algunos de los servidores desde donde se sabía que se distribuía aquel exploit y relacionados con sus desarrolladores. El día 14 de septiembre detectó que se había creado nuevo directorio en uno de ellos donde se alojaba el código para aprovechar una nueva vulnerabilidad, que resultó ser esta de Internet Explorer.

El fallo permite la ejecución remota de código a través de una vulnerabilidad en la función execCommand utilizando referencias no válidas a puntero ya liberado (use-after-free).  En el código del exploit esto se consigue mediante la creación de un objeto ‘CMshtmlEd’, su eliminación y posterior uso de la zona de memoria mediante CMshtmlEd::Exec. Una vez explotada la vulnerabilidad, se ejecuta el payload mediante la técnica del relleno de la memoria heap mediante NOPs (heap spray) y del propio shellcode para conseguir su ejecución. Elude DEP y ASLR con técnicas ROP y después carga un troyano del servidor malicioso.

En el siguiente vídeo se puede observar todo el proceso, llevado a cabo en un servidor comprometido donde se alojaban tanto el exploit de IE como el conocido RAT Poison Ivy, encargado de controlar a la potencial víctima.

http://youtu.be/_w8XCwdw5FI

El diagrama de flujo del ataque sería el siguiente:

http://2.bp.blogspot.com/-G-HWQ42_uhQ/UFggDIPO3qI/AAAAAAAABFM/Aa4udfFFcSQ/s1600/diagram.png

El exploit (Protect.html) inicialmente no era detectado por ninguna casa antivirus:

http://3.bp.blogspot.com/-rUHfJBC9P3w/UFggOJFjNkI/AAAAAAAABFU/H0d8nhsmYnk/s1600/VT_nodetection.png

Aunque finalmente Microsoft ha actualizado sus definiciones de antivirus identificando la familia del exploit como Dufmoh.

http://4.bp.blogspot.com/-QmVIgO8X9vA/UFggfVFw0qI/AAAAAAAABFc/9kM2RZ9hb18/s1600/Dufmoh_detection.png

Este 0-day está siendo ampliamente explotado tras la publicación del script para Metasploit. Aunque el módulo de Metasploit está creado para Internet Explorer 8, se podría modificar para otras versiones.

http://postimage.org/image/zf4qdbmuf

No existe parche o contramedida oficial por parte de Microsoft, por lo que se recomienda el uso de otros navegadores hasta que sea publicada una actualización. EMET correctamente configurado, podría permitir detener el vector de ataque.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/09/grave-vulnerabilidad-sin-parche-en.html#comments

Más información:

Zero-Day Season Is Really Not Over Yet
http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet/

IE execCommand fuction Use after free Vulnerability 0day en
http://blog.vulnhunt.com/index.php/2012/09/17/ie-execcommand-fuction-use-after-free-vulnerability-0day_en/

metasploit: Microsoft Internet Explorer execCommand Use-After-Free Vulnerability http://dev.metasploit.com/redmine/projects/framework/repository/revisions/aac41e91fd38f99238971892d61ead4cfbedabb4/entry/modules/exploits/windows/browser/ie_execcommand_uaf.rb

Mmm, Smells Like 0day
http://blog.beyondtrust.com/bid/89587/Mmm-Smells-Like-0day

New Internet Explorer zero day being exploited in the wild
http://labs.alienvault.com/labs/index.php/2012/new-internet-explorer-zero-day-being-exploited-in-the-wild

Exploit:Win32/Dufmoh.B
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Exploit%3aWin32%2fDufmoh.B&threatid=2147663168

Microsoft Internet Explorer execCommand Use-After-Free Vulnerability http://dev.metasploit.com/redmine/projects/framework/repository/revisions/aac41e91fd38f99238971892d61ead4cfbedabb4/entry/modules/exploits/windows/browser/ie_execcommand_uaf.rb

2a2e2efffa382663ba10c492f407dda8a686a777858692d073712d1cc9c5f265
https://www.virustotal.com/file/2a2e2efffa382663ba10c492f407dda8a686a777858692d073712d1cc9c5f265/analysis/1347710701/

Fuente:
José Mesa Orihuela
jmesa@hispasec.com
Sergio de los Santos
ssantos@hispasec.com
@ssantosv
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logos/Imágenes MR Respectivas Compañías mencionadas en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar