Una vulnerabilidad de Internet Explorer está siendo explotada activamente

Microsoft ha anunciado que una vulnerabilidad de ejecución remota de código sin parchear que afecta a la mayoría de las versiones de Internet Explorer (IE) está siendo explotada activamente. El fallo (CVE-2020-0674) que se califica de gravedad crítica para IE 11 y de gravedad moderada para IE 9 e IE 10, existe en la forma en que el motor de secuencias de comandos jscript.dll maneja los objetos en la memoria en el navegador, de acuerdo con el aviso de Microsoft, que está trabajando en un parche.

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

La vulnerabilidad podría corromper la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual, lo que significa que un atacante podría obtener los mismos derechos de usuario que el usuario actual. "Si el usuario actual inicia sesión con derechos de usuario administrativos, un atacante que aprovechase la vulnerabilidad con éxito podría tomar el control de un sistema afectado", explica Microsoft. “Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con derechos de usuario completos".

El ataque podría llevarse a cabo utilizando un sitio web malicioso diseñado para explotar la vulnerabilidad a través de IE, señala el aviso. Los actores de amenazas podrían atraer a las víctimas al sitio enviándoles un correo electrónico, a través de técnicas de watering-hole, a través de documentos maliciosos que contienen un enlace web y otros esfuerzos de ingeniería social.

Si bien Microsoft está al tanto de que se han producido "ataques dirigidos limitados", no se lanzará un parche hasta Patch Tuesday del próximo mes. “Nuestra política estándar es lanzar actualizaciones de seguridad el segundo martes de cada mes. Este programa predecible permite asegurar la calidad y la planificación de TI, lo que ayuda a mantener el ecosistema de Windows como una opción confiable y segura para nuestros clientes", señala la compañía.

Una de las razones por las cuales el sentido de urgencia puede ser menor de lo que cabría esperar con un día cero es el hecho de que todas las versiones compatibles de IE en su configuración predeterminada usan Jscrip9.dll como motor de secuencias de comandos, que no es vulnerable al fallo. Sin embargo, el problema afecta a las versiones de IE que se usan en Windows 7, que llegó al final de su vida útil la semana pasada y, por lo tanto, ya no son compatibles.