El 18 de enero de
2020 Microsoft lanzó un comunicado en el que avisaba sobre una emergencia de
seguridad que afecta a millones de usuarios de Windows, a quienes daba a
conocer una nueva vulnerabilidad en el navegador Internet Explorer (IE), la
cual está siendo explotada activamente por atacantes. Se cree que estos ataques
son parte de una campaña más grande por la que también se han visto afectados
usuarios del navegador web Firefox.
La vulnerabilidad,
con código CVE-2020-0674, se ha evaluado como riesgo moderado y consiste en la
ejecución de código remoto facilitada por la forma en la que el motor de
scripts del navegador hace uso de los objetos en la memoria de IE, lanzando el
proceso mediante la librería JScript.dll.
Explotando esta
vulnerabilidad, un atacante puede ejecutar código aleatorio de manera remota en
los equipos afectados y hacerse con el control total de éstos con tan solo
convencer a los usuarios para que abran una página maliciosa en IE.
«La vulnerabilidad
podría corromper la memoria de forma que un atacante pueda ejecutar código
aleatorio en el contexto del usuario afectado. El atacante que lleve a cabo la
explotación con éxito podría hacerse con los mismos permisos del usuario cuya
máquina ha sido vulnerada», comenta una de las fuentes consultadas sobre el
asunto.
«Si el usuario que ha
iniciado sesión en el equipo lo ha hecho con privilegios de administrador, un
atacante que explote la vulnerabilidad durante dicha sesión podría hacerse con
el control del sistema afectado. El atacante podría entonces instalar
programas; ver, cambiar, o eliminar información; así como crear nuevas cuentas
con privilegios absolutos».
Según Microsoft todas
las versiones de escritorio de Windows y las versiones de su sistema operativo
para servidores están afectadas por esta vulnerabilidad.
Mitigación
En lo que Microsoft
lanza un parche para corregir esta vulnerabilidad, se ha proporcionado a los
usuarios una solución para mitigar el problema. Ésta consiste en evitar
manualmente que cargue la librería JScript.dll para que la vulnerabilidad no se
pueda explotar.
Para restringir el acceso
a JScript.dll habría que ejecutar los siguientes comandos con privilegios de
administrador:
Para sistemas de 32
bits
·
takeown
/ f% windir% \ system32 \ jscript.dll
·
cacls%
windir% \ system32 \ jscript.dll / E / P everyone: N
·
Para
sistemas de 64 bit
·
takeown
/ f% windir% \ syswow64 \ jscript.dll
·
cacls%
windir% \ syswow64 \ jscript.dll / E / P everyone: N
·
takeown
/ f% windir% \ system32 \ jscript.dll
·
cacls%
windir% \ system32 \ jscript.dll / E / P everyone: N
Los usuarios que hayan
aplicado los pasos anteriores deberán «deshacerlos» para poder instalar el
parche que sea posteriormente publicado por Microsoft. La manera de hacerlo
será la siguiente:
Para sistemas de 32
bits
·
cacls
%windir%\system32\jscript.dll /E /R everyone
·
Para
sistemas de 64 bits
·
cacls
%windir%\system32\jscript.dll /E /R everyone
·
cacls
%windir%\syswow64\jscript.dll /E /R everyone
A pesar de que IE no
es el navegador por defecto en las últimas versiones de Windows, sigue estando
instalado en el sistema operativo y, particularmente los usuarios con versiones
más antiguas, son quienes se ven mayoritariamente afectados por esta vulnerabilidad,
por lo que una vez Microsoft haga pública la solución definitiva a este
problema, se recomienda actualizar los equipos lo antes posible.
Más información
Fuente: Hispasec