double kill es una vulnerabilidad zero-day hallada en Internet Explorer

Internet Explorer nunca ha tenido buena fama entre los usuarios con conocimientos medios o superiores de informática. Los principales motivos de por qué esta aplicación era vilipendiada fueron su incompatibilidad con los estándares de la W3C y sus constantes problemas de seguridad, que muchas veces se veían agravados por la poca diligencia de los usuarios a la hora de actualizar.

Aunque Internet Explorer está lejos de sus tiempos de gloria en lo que a cuota de mercado se refiere, esto no quiere decir que haya dejado de ser un objetivo por parte de hackers y cibercriminales. La compañía de ciberseguridad china Qihoo ha denunciado la explotación activa de una vulnerabilidad zero-day en Internet Explorer. De momento parece que no se tiene una información profunda de la vulnerabilidad, que ha recibido el nombre de double kill (en referencia al hito de conseguir dos muertes con un solo disparo en un videojuego).

Double kill empieza a ser explotada mediante un documento de Microsoft Office específicamente diseñado y que puede llegar a la víctima a través de un email, un método que a estas alturas se puede considerar como “viejo”. Una vez abierto el documento, entra en ejecución lo que tendría que ser un código de shell no especificado que ejecuta Internet Explorer en segundo plano, permitiendo la descarga e instalación de un programa de forma inadvertida.

Como ya hemos comentado, Qihoo no ha ofrecido una información muy precisa del problema de seguridad que afecta o involucra a Internet Explorer, así que nos haremos eco de lo que han entendido desde Naked Security:

• Los documentos de ofimática de Microsoft (RTF, DOC, DOCX, XLS, XLSX, PPT y PPTX) pueden ser usados para ejecutar la vulnerabilidad.
• Que los documentos maliciosos tendrían que contener macros o scripts que podrían ser detectados y bloqueados de forma genérica para reducir el riesgo del ataque.
• No queda claro si se requiere utilizar Microsoft Office o bien se podría utilizar otros formatos de documentos y otras aplicaciones, como por ejemplo ficheros PDF o reproductores de vídeos.
• Cómo entra y qué papel juega exactamente Internet Explorer en el ataque.

El diagrama publicado por Qihoo muestra que el documento contiene código de shell y varios DLL que escriben en disco después de ser ejecutado el documento, pero no aparece nada de Internet Explorer. Otros aspectos secundarios mencionados son que el ataque elude el Control de Cuentas de Usuario (UAC), descarga un fichero de imagen con un código ejecutable en su interior y que la ejecución de ese último componente se hace metiéndose directamente en la memoria sin ser guardado en el almacenamiento de datos.

Todo parece indicar que Qihoo ha compartido los detalles de este problema de seguridad con Microsoft, por lo que posiblemente haya que esperar un tiempo hasta tener toda la información, posiblemente hasta después de que la desarrolladora de Internet Explorer haya publicado los parches correspondientes mediante Windows Update.