Microsoft actualiza IE contra una vulnerabilidad del día cero que distribuye Pirpi

¡El parche ya está aquí! Microsoft está publicando una actualización de seguridad fuera de ciclo MS14-021 para bloquear el exploit de la vulnerabilidad del día cero que se descubrió hace poco en Internet Explorer y que los cibercriminales ya estaban utilizando para atacar a los internautas. ¡Qué bueno que la respuesta de una empresa tan grande haya sido tan rápida!

La historia detrás de este parche es la siguiente: La semana pasada, atacantes conocidos por enviar correos electrónicos bien construidos a blancos importantes intentaron redirigir los navegadores de sus víctimas a sitios que alojaban la vulnerabilidad del día cero de Internet Explorer. La meta de los atacantes era compartir una versión nueva de la vieja RAT Pirpi con los sistemas comprometidos de las víctimas para primero controlar sus navegadores y después sus sistemas y redes.

La vulnerabilidad “use-after-free” (CVE-2014-1776), un tipo de amenaza que sigue plagando los productos Microsoft, se estaba en la ejecución de códigos de mshtml.dll, mshtml.tlb, Microsoft-windows-ie-htmlrendering.ptxml y Wow64_microsoft-windows-ie-htmlrendering.ptxml en Internet Explorer y todos los sistemas operativos Windows. Los exploits se concentraron en atacar este código en las versiones de IE 9 a IE 11.

Los investigadores habían informado que el código vgx.dll era vulnerable, pero éste no es el código que se está corrigiendo. Dar de baja esa dll era la forma más rápida de desactivar las funcionalidades relacionadas del navegador.

Aquellos que lo hicieron y están instalando la actualización deben volver a registrar la dll: “Si aplicaste una solución temporal para dar de baja VGX.DLL, no debes deshacer esta acción antes de instalar la actualización de seguridad. Pero la actualización no volverá a registrar vgx.dll. Visita la sección especializada en esta solución para conocer los pasos a seguir para volver a registrar vgx.dll”.

El parche es bastante pesado; en los sistemas Windows 7 x64 bits que ejecutan IE11, la descarga pesa alrededor de 16 MB porque mshtml.dll es de más de 20 MB en algunas versiones de IE y el OS. La descarga puede ser aún mayor en algunos sistemas. Ninguno de los parches que he visto hasta ahora requiere que se reinicie el sistema. Se están presentando actualizaciones para Internet Explorer versiones 6-8 y para usuarios de Windows XP SP3 y x64 XP SP2.

Ahora que el parche está disponible, es importante que todos lo instalen. La vulnerabilidad afecta a casi todas las versiones de Internet Explorer, en casi todas las versiones de Windows OS (Windows Update te ayudará a escoger tu parche). Antes se usaba en ataques que no eran numerosos. Los equipos de seguridad creen que su uso no está muy expandido, y no hemos visto ningún ataque contra los sistemas de alguno de nuestros clientes.

Pero, cuando se analice la actualización y el código, será fácil distribuirlo en las redes cibercriminales para su explotación masiva. Ejecuta Windows Update si tienes un sistema Windows, y felicitamos a Microsoft por haber reaccionado tan rápido para distribuir este parche a su gran cantidad de usuarios con la debida urgencia.