Microsoft ha publicado hoy el aviso de seguridad 2963983, que indica que todas las versiones de Internet Explorer hasta la fecha pueden ser vulneradas y permitir la ejecución de código remoto. Esta vulnerabilidad se debe a un problema con la lectura de un objeto en memoria que ha sido borrado o no ha sido correctamente manejado. Veamos como nos afecta esto:
Versiones de Internet Explorer comprometidas
Todas las versiones de Internet Explorer que se ejecutan en el escritorio de Windows están comprometidas, esto es las versiones de escritorio de Internet Explorer 6, 7, 8, 9, 10 y 11, incluido Internet Explorer 11 en el escritorio de Windows 8 RT.
Sin embargo las versiones de Internet Explorer envolventes no están afectadas (esto es las versiones metro), ni tampoco el explorador de Windows Phone en ninguna de sus versiones. Cabe destacar que los navegadores embebidos en aplicaciones tampoco están comprometidos.
Las versiones de Internet Explorer para Windows Server no se encuentran afectadas, ya que estas versiones tiene activado por defecto el Modo de Seguridad Mejorada, que impide la ejecución de eventos potencialmente peligrosos en estas versiones de Internet Explorer. Sin embargo si el administrador del sistema ha desactivado el Modo de Seguridad Mejorada, o ha añadido un sitio atacante a la lista de sitios de confianza, el ataque se puede producir incluso en Windows Server. En cualquier caso no se debe desactivar el Modo de Seguridad Mejorada en Windows Server.
Factores que evitan la amenaza
Cada vez que Microsoft publica un aviso de seguridad, también publica unos factores que mitigan la amenaza hasta que se publique un parche. Estos son los del 2963983:
- De forma predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 y Windows Server 2012 R2 se ejecuta en un modo restringido conocido como Modo de Seguridad Mejorada. Este modo soluciona esta vulnerabilidad.
- De forma predeterminada, todas las versiones compatibles de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren los mensajes de correo electrónico HTML en la zona Sitios restringidos. La zona Sitios restringidos, que deshabilita la escritura y los controles ActiveX, ayuda a reducir el riesgo de que un atacante pueda usar esta vulnerabilidad para ejecutar código malintencionado. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, el usuario todavía podría ser vulnerable a la explotación de esta vulnerabilidad a través de la posibilidad de un ataque basado en web.
- Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
- En caso de un ataque basado en web, el intruso podría alojar un sitio web que contiene una página web que se utiliza para aprovechar esta vulnerabilidad. Además, los sitios web y los sitios web comprometidos que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. En todos los casos, sin embargo, el atacante no podría obligar a los usuarios a visitar estos sitios web. En su lugar, el atacante tendría que persuadir a los usuarios a visitar el sitio web, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de mensajería instantánea que lleve a los usuarios al sitio web del atacante.
Así pues hacemos estas recomendaciones de MSFT Insider para que nuestros usuarios que usen Internet Explorer no se vean afectados hasta que Microsoft publique el parche:
- No entres en sitios web que no conoces, o que puedan resultar sospechosos.
- No abras ningún enlace en un mensaje de correo electrónico si dicho mensaje no ha sido enviado por alguien que conoces
- En general, si navegas seguro, no ocurrirá nada
- Tener activado SIEMPRE Windows Update, con las actualizaciones automáticas, para que en cuanto Microsoft publique el parche se instale automáticamente
La primera vulnerabilidad importante en Windows XP que nunca será corregida
Recordemos que Windows XP ya no tiene soporte por parte de Microsoft, por lo que todos los sistemas con Windows XP están comprometidos. Mucha gente dirá «Me da igual, yo no uso Internet Explorer«. Recordemos que muchas aplicaciones de terceros usan el motor de Internet Explorer para mostrar objetos relativos a Internet, como por ejemplo lectores RSS, Skype, Microsoft Word, Excel, Outlook y muchos otros programas, aunque no pertenezcan a Microsoft. Si usas Windows XP estás usando un sistema comprometido aunque no uses Internet Explorer.
Cómo mitigar la vulnerabilidad
Si por el contrario eres el encargado de administrar una serie de ordenadores que no siempre manejas tu, bien porque controles una red de una empresa o de cualquier institución, tienes varias maneras de mitigar el ataque:
- Activar el Modo de Seguridad Mejorada, permitiendo solamente que se carguen páginas web relativas a la empresa en la cual se está trabajando
- Descargar el Kit de Herramientas de Mitigación mejorada de Microsoft, que evita la vulnerabilidad.
Si eres un usuario normal, sin experiencia en administración de sistemas, recomendamos que no apliques ningún correctivo, y que sigas las recomendaciones dichas más arriba. Por lo general, cualquier sistema Windows a fecha de hoy en día es vulnerable por siempre si en un futuro no se actualiza.
