Español | English
rss facebook linkedin Twitter

¡Atención! Posible vulnerabilidad de Internet Explorer 7 in the wild


Según se comenta durante el día de hoy en diversas fuentes de contrastada reputación, parece que existe una vulnerabilidad en Internet Explorer 7 que está siendo explotada activamente, principalmente en webs pertenecientes a China; todo apunta a que tiene que ver con el parsing de algún tag XML en la librería mshtml.dll. Ejemplo de exploit en la página de Huaidan.

Un rápido análisis del exploit parece que sólo afecta a usuarios de Windows XP y Windows 2003 que utilicen Internet Explorer 7, pero al ser la librería mshtml.dll tan usada en otras aplicaciones no se descarta que aparezcan otros objetivos y aplicaciones a ser atacadas remotamente.

En este momento parece que todas las URL que albergan el exploit son dominios pertenecientes a China, con lo que es recomendable monitorizar toda navegación a etiquetas iframe que carguen URL del ccTLD .cn. Así mismo, soluciones como NoScript en FireFox implementadas para Internet Explorer pueden proteger a los usuarios ya que los exploits hacen uso activo de JavaScript.

David Barroso
S21sec e-crime

3 comentarios:

ne0 dijo...

¿Puede ser este el exploit?

http://www.milw0rm.com/exploits/7403

Anónimo dijo...

Tiene toda la pinta

Anónimo dijo...

Yo diría que tb.
Por cierto, he intentado cambiar el payload (shellcode) para que no ejecute la aburrida calculadora (calc.exe) y que ejecute una "shell" (cmd.exe).
Digo he intentado porque no he podido. No se porqué? Alguien sabría iluminarme el camino?

Pasos realizados:

- Generar un payload (cmd.exe) con metasploit. Modificar la codificación %u. Copiar el nuevo payload en la variable shellcode. --> No funciona
- Generar el mismo payload (calc.exe) con metasploit. Cambiar la codificación %u. Resulta que no obtengo el mismo código. Varía poco pero no es identico. Copiar el nuevo payload en la variable shellcode. --> No funciona
- Generar el mismo payload (calc.exe) pero con el mismo número de bytes que el original (generate -s 3). El payload no es mismo. --> No funciona

Gracias!


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login