Este es el tercer Zero-Day descubierto por FireEye en 2014. Microsoft ha trabajado intensivamente con FireEye en la respuesta a este Zero-Day.
FireEye Research Labs identificó un nuevo punto vulnerable de Zero-Day para Internet Explorer (IE) utilizado en ataques dirigidos. La vulnerabilidad afecta a Internet Explorer 6 (IE6) a través de IE11, pero el ataque está enfocando IE9 a través de IE11. Este Zero-Day pasa tanto por ASLR (Address Space Layout Randomization) como por DEP (Data Execution Prevention). Microsoft ha asignado CVE-2014-1776 a la vulnerabilidad y ha distribuido un aviso de seguridad para dar seguimiento a este tema.
Los agentes de amenaza están usando activamente este punto vulnerable en una campaña en curso que hemos llamado “Operation Clandestine Fox”. FireEye cree que se trata de un Zero-Day significativo dado que las versiones vulnerables representan alrededor de un cuarto del mercado total de navegadores. Por ello, se recomienda aplicar un parche una vez que esté disponible.
De acuerdo con NetMarket Share, el share de mercado para las versiones objetivo de IE en 2013 fueron:
IE 9 13.9%
IE 10 11.04%
IE 11 1.32%
En conjunto, en 2013, las versiones de IE vulnerables representaron un 26,25% del mercado de navegadores. La vulnerabilidad, sin embargo, aparece en IE6 a través de IE11 aunque el punto de vulnerabilidad tiene como objetivo IE9 y superiores.
Para tener en cuenta:
- La vulnerabilidad afecta a Internet Explorer IE6 y superiores, aunque sólo podemos informar que estamos viendo ataques a IE9 y superiores.
- IE9 y superiores representan alrededor de 26% del uso mundial de navegadores! Esto es serio.
- Microsoft confirmó la vulnerabilidad y también confirmó que no tienen previsto emitir un parche para los usuarios de XP. Esto es importante para los usuarios de LATAM como se informó en Deciembre que el 20% de la base de Latinoamérica de Microsoft aún utiliza XP, lo que significa que una gran cantidad de usuarios de PC en LATAM son vulnerables.
- Es probable que los atacantes continúen apuntando a los usuarios de XP con este punto vulnerable.
- El ataque fue distribuido a través de un plug in flash, que es muy común en la mayoría de los sitios en todo el mundo. En otras palabras, todos los que están usando Internet Explorer IE9 y superiores para navegar internet pueden ser atacados.
- Inicialmente, parecía que los ataques iban detrás de objetivos de todo el mundo en los verticales de defensa y finanzas con fines de inteligencia.
