Un atacante que aproveche la vulnerabilidad podría tomar el control de un sistema afectado
Microsoft lanzó ayer una actualización de seguridad fuera de banda para parchear una vulnerabilidad crítica de día cero en el navegador web Internet Explorer (IE) que los atacantes ya están explotando en la naturaleza para atacar las computadoras con Windows.
Descubierta por el investigador de seguridad Clement Lecigne de Threat Analysis Group de Google, la vulnerabilidad, rastreada como CVE-2018-8653, es una falla de ejecución remota de código (RCE) en el motor de secuencias de comandos del navegador IE.
Según el aviso, una vulnerabilidad de corrupción de memoria no especificada reside en el componente JScript del motor de secuencias de comandos de Microsoft Internet Explorer que maneja la ejecución de lenguajes de secuencias de comandos.
Si se explota con éxito, la vulnerabilidad podría permitir a los atacantes ejecutar código arbitrario en el contexto del usuario actual.
"Si el usuario actual ha iniciado sesión con derechos administrativos de usuario, un atacante que aproveche la vulnerabilidad podría tomar el control de un sistema afectado. Un atacante podría entonces instalar programas; ver, cambiar, o eliminar datos; o crear nuevas cuentas con todos los derechos de usuario", se lee en el aviso.
Además de esto, un atacante remoto también puede atacar a las víctimas al convencerlas de que vean un documento HTML especialmente diseñado (por ejemplo, una página web o un archivo adjunto de correo electrónico), un documento de MS Office, un archivo PDF o cualquier otro documento que admita el contenido incorporado del motor de secuencias de comandos de IE.
La vulnerabilidad de día cero de IE afecta a IE 9 en Windows Server 2008, IE 10 en Windows Server 2012, IE 11 de Windows 7 a Windows 10 e IE 11 en Windows Server 2019, Windows Server 2016, Windows Server 2008 R2, Windows Server 2012 R2.
Ni Google ni Microsoft han revelado públicamente ningún detalle técnico sobre la vulnerabilidad de día cero de IE, el código de vulnerabilidad de prueba de concepto o detalles sobre la campaña de ataque cibernético en curso que utiliza este error de RCE.
Dado que la vulnerabilidad se está explotando activamente en la naturaleza, lo que lo convierte en un defecto crítico de día cero, se recomienda encarecidamente a los usuarios que instalen las últimas actualizaciones proporcionadas por Microsoft lo antes posible.
Aunque no se recomienda, los usuarios que no pueden implementar parches de inmediato pueden mitigar la amenaza al restringir el acceso al archivo jscript.dll ejecutando el siguiente comando en el símbolo del sistema con privilegios de administrador.
• Para sistemas de 32-bit → cacls %windir%\system32\jscript.dll /E /P everyone:N
• Para sistemas de 64-bit → cacls %windir%\syswow64\jscript.dll /E /P everyone:N
Se debe tener en cuenta que el comando anterior obligará al navegador web a usar Jscript9.dll, pero cualquier sitio web que se base en Jscript.dll no podrá procesarse.
