El 18 de enero de 2020 Microsoft lanzó un comunicado en el que avisaba sobre una emergencia de seguridad que afecta a millones de usuarios de Windows, a quienes daba a conocer una nueva vulnerabilidad en el navegador Internet Explorer (IE) 9 a 11, la cual está siendo explotada activamente por atacantes. Se cree que estos ataques son parte de una campaña más grande por la que también se han visto afectados usuarios del navegador web Firefox.

La vulnerabilidad, con código CVE-2020-0674, se ha evaluado como riesgo moderado y consiste en la ejecución de código remoto facilitada por la forma en la que el motor de scripts del navegador hace uso de los objetos en la memoria de IE, lanzando el proceso mediante la librería JScript.dll.

Explotando esta vulnerabilidad, un atacante puede ejecutar código aleatorio de manera remota en los equipos afectados y hacerse con el control total de éstos con tan solo convencer a los usuarios para que abran una página maliciosa en IE.

«La vulnerabilidad podría corromper la memoria de forma que un atacante pueda ejecutar código aleatorio en el contexto del usuario afectado. El atacante que lleve a cabo la explotación con éxito podría hacerse con los mismos permisos del usuario cuya máquina ha sido vulnerada», comenta una de las fuentes consultadas sobre el asunto.

"Si el usuario que ha iniciado sesión en el equipo lo ha hecho con privilegios de administrador, un atacante que explote la vulnerabilidad durante dicha sesión podría hacerse con el control del sistema afectado. El atacante podría entonces instalar programas; ver, cambiar, o eliminar información; así como crear nuevas cuentas con privilegios absolutos".

Según Microsoft todas las versiones de escritorio de Windows y las versiones de su sistema operativo para servidores están afectadas por esta vulnerabilidad.

Mitigación

En lo que Microsoft lanza un parche para corregir esta vulnerabilidad, se ha proporcionado a los usuarios una solución para mitigar el problema. Ésta consiste en evitar manualmente que cargue la librería JScript.dll para que la vulnerabilidad no se pueda explotar. Para restringir el acceso a JScript.dll habría que ejecutar los siguientes comandos con privilegios de administrador:

• Para sistemas de 32 bits
  • takeown / f% windir% \ system32 \ jscript.dll
  • cacls% windir% \ system32 \ jscript.dll / E / P everyone: N
• Para sistemas de 64 bit
  • takeown / f% windir% \ syswow64 \ jscript.dll
  • cacls% windir% \ syswow64 \ jscript.dll / E / P everyone: N
  • takeown / f% windir% \ system32 \ jscript.dll
  • cacls% windir% \ system32 \ jscript.dll / E / P everyone: N

Los usuarios que hayan aplicado los pasos anteriores deberán "deshacerlos" para poder instalar el parche que sea posteriormente publicado por Microsoft. La manera de hacerlo será la siguiente:

• Para sistemas de 32 bits
  • cacls %windir%\system32\jscript.dll /E /R everyone
• Para sistemas de 64 bits
  • cacls %windir%\system32\jscript.dll /E /R everyone
  • cacls %windir%\syswow64\jscript.dll /E /R everyone

A pesar de que IE no es el navegador por defecto en las últimas versiones de Windows, sigue estando instalado en el sistema operativo y, particularmente los usuarios con versiones más antiguas, son quienes se ven mayoritariamente afectados por esta vulnerabilidad, por lo que una vez Microsoft haga pública la solución definitiva a este problema, se recomienda actualizar los equipos lo antes posible.

Fuentes:

• Hispasec
• Reddit
• Microsoft Warns of Unpatched IE Browser Zero-Day That’s Under Active Attacks
• Microsoft warns about Internet Explorer zero-day, but no patch yet
• Microsoft provides mitigation for actively exploited CVE-2020-0674 IE Zero-Day