Nivel de Criticidad: Crítico
Se ha hecho pública la existencia de una vulnerabilidad zero-day de ejecución remota de código en el navegador Internet Explorer. Microsoft ha lanzado el aviso ADV200001 para notificar sobre este fallo, así como de la existencia de una medida de mitigación, dado que, de momento, no existe parche para solucionar la vulnerabilidad. La vulnerabilidad es la siguiente:
- CVE-2020-0674
Esta vulnerabilidad fue descubierta por expertos en seguridad de la firma china Qihoo 360, la cual reportó que el fallo se estaba explotando con éxito junto al zero-day publicado recientemente en el navegador de Mozilla, Firefox. Los detalles técnicos de la vulnerabilidad no han sido publicados, si bien, es conocido que se trata de una vulnerabilidad similar a la vulnerabilidad CVE-2019-17026 existente en Firefox. En el aviso ofrecido por el fabricante, este ha señalado que se trata de un error de corrupción de memoria en el motor de secuencias de comandos de Internet Explorer, el componente del navegador que maneja el código JavaScript, que podría permitir a un atacante la ejecución remota de código (RCE) en el contexto del usuario actual.
Dado que se trata de un zero-day, la base de datos del NIST aún no ha registrado la vulnerabilidad identificada como CVE-2020-0674, por tanto, no dispone de puntuación según la escala CVSSv2. No obstante, el fabricante la ha calificado como crítica y confirma la explotación de forma activa en la red.
Recursos afectados
- Internet Explorer 11
- Internet Explorer 10
- Internet Explorer 9
Solución a la vulnerabilidad
Por el momento, Microsoft no ha publicado ningún parche para solucionar la vulnerabilidad.
No obstante, para mitigar la vulnerabilidad, el fabricante ha sugerido restringir el acceso a la librería jscript.dll, encargada de proporcionar la funcionalidad del motor de secuencias de comandos. No obstante, advierte de que esto podría tener como repercusión una reducción de la funcionalidad en aquellos componentes que dependen de esta. Por ello, recomienda llevar a cabo la siguiente implementación de los comandos con privilegios de administrador, tan solo en caso de existir indicios evidentes de un riesgo elevado.
- Para sistemas 32-bit:
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
- Para sistemas 64-bit:
takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
Además, el fabricante ha advertido sobre la importancia de deshacer la medida una vez se publique el parche correspondiente. Para ello:
- Para sistemas 32-bit:
cacls %windir%\system32\jscript.dll /E /R everyone
- Para sistemas 64-bit:
cacls %windir%\system32\jscript.dll /E /R everyone
cacls %windir%\syswow64\jscript.dll /E /R everyone
Recomendaciones
El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
En el aviso ofrecido por Microsoft, este ha recomendado ejecutar Internet Explorer en modo restringido, conocido como Configuración de seguridad mejorada. Se trata de un conjunto de configuraciones que se encuentra establecido de forma predeterminada en Internet Explorer para reducir la probabilidad de que un usuario o administrador descargue y ejecute contenido web malicioso.
Referencias
