Internet Explorer 8 como canal de ataque al sector nuclear

0

A finales de este pasado mes de Abril, varios investigadores han descubierto un exploit (vulnerabilidad) en Internet Explorer 8 que permitía a los atacantes ejecutar código arbitrario (malicioso) en el ordenador de la víctima. Aún peor, el exploit ha sido encontrado campando a sus anchas en una web oficial del Departamento de Trabajo de EEUU (US DoL). Posiblemente su objetivo hayan sido aquellos trabajadores con acceso a materiales tóxicos o nucleares. Este fin de semana, Microsoft confirmó que la vulnerabilidad era del tipo “zero day” para Explorer 8 -esto es, desconocida-. 

Departamento de Trabajo

El Exploit

Microsoft lanzó un boletín de seguridad el viernes, confirmando el exploit CVE-2013-1347 para Explorer 8, dejando constancia de que las versiones 6, 7, 9 y 10 no han sido afectadas.

“Esta es una vulnerabilidad de ejecución de código remoto” según Microsoft. “La vulnerabilidad existe sobre la circunstancia de que Explorer accede a un objeto en memoria que ha sido borrado o incorrectamente asignado. Esto puede provocar corrupción de memoria de una forma tal que un atacante podría ejecutar código arbitrario sobre ese usuario de Explorer”.

Un atacante podría alojar una página especialmente manipulada que es diseñada para explotar este problema a través de Explorer y acabar convenciendo al usuario de visitar ese sitio web. Por desgracia, esto último ya ha ocurrido.

En estado salvaje

Así se define a una amenaza en plena expansión. El exploit fué primeramente notificado a finales de Abril por la compañía de seguridad Invincea. El site indicó que la web del Departamento de Trabajo estaba redirigiendo a los visitantes hacia otra desde la cual una variante del troyano Ivi Poison era instalada en el dispositivo de la víctima.

AlienVault Labs escribió que, mientras el malware llevaba a cabo una serie de actividades, también escaneaba el ordenador de la víctima para determinar si había algún antivirus presente. Según esta compañía, el malware comprobaba la existencia de Avira, Bitdefender, Avg, Mcafee, Eset, MSE y Kaspersky entre otros.

En el Blog de Cisco, Craig Williams afirmaba que “esta información probablemente sea usada para garantizar el éxito de futuros ataques”.

Aunque es dificil saber las motivaciones del ataque, este exploit parece haber sido diseñado con varios objetivos en mente. Podemos hablar de un “watering hole”, que es cuando una web popular es modificada para infectar visitantes entrantes -similar a otro que hemos visto este año.

El primer paso en el ataque ha sido el Departamento de Trabajo, pero parece posible que los principales objetivos estén ahora en el Departamento de Energía -especialmente empleados con acceso a material nuclear-. AlienVault ha alertado de que, estudiando las “matrices de exposición del sitio” que guarda información sobre “compensación de empleados por exposición a materiales tóxicos” también ha sido involucrada.

Cuidado ahí fuera

Microsoft también alerta en su boletín de que las víctimas podrían ser llevadas a otra web para que el exploit sea efectivo. Sin embargo, en cualquier caso, no podrían forzar al usuario, teniendo que ser él mismo quien acceda por voluntad propia.

Aunque es posible que sea un ataque dirigido, la mayoría de usuarios no encontrarán el exploit por sí mismos. Sin embargo, si está siendo empleado por un grupo de atacantes, es probable que acabe en manos de otros. Como siempre, cuidado con los enlaces extraños y las ofertas “demasiado buenas para ser reales”. Hoy en día es habitual ver cuentas de Facebook secuestradas para difundir este tipo de links, por lo que no está de más estudiar la veracidad de un enlace antes de acceder a él.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR