Publican código de explotación para la reciente falla de día cero en Internet Explorer

Con el uso de pistas dejadas en el blog de McAfee, un hacker israelí fue capaz de localizar la última vulnerabilidad de día cero en Internet Explorer y crear un código de explotación funcional. 

El código de explotación abre camino para la puesta en marcha de ataques  de gestión de descargas para todos los usuarios de IE 6 e IE 7, y ya colocado en la herramienta  de punto y clic de Metasploit. 

Los últimos desarrollos fueron presentados en menos de 24 horas después de que Microsoft confirmó que la falla estaba siendo utilizada en ataques, colocando a la compañía bajo la presión para generar un parche de emergencia , fuera del calendario programado, tan pronto como sea posible. 

Moshe Ben Abu, el investigador israelí que creó la explotación, dijo que encontró información sobre dónde encontrar los sitios que hospedan código malicioso en una entrada dentro del blog de  McAfee  donde se discutían los ataques dirigidos. 

He aquí el texto principal dentro del blog  de McAfee que dio Ben Abu un lugar para encontrar el malware de día cero: 

Los laboratorios de McAfee advierten sobre un ataque procedente del dominio topix21century.com (tanto en http y https). En este ataque, los usuarios más vulnerables son dirigidos a una página Web maliciosa que descarga y ejecuta un archivo llamado notes.exe o SVOHOST.exe (clasificados como BackDoor-REM) continuando la moda de los ataques que descargan archivos (entrar a la página es suficiente para infectarse). Existen múltiples variantes de del troyano en cuestión. Notes.exe crea dos copias de sí mismo en el directorio% temp%, y coloca un archivo DLL. Este archivo DLL es inyectado en Internet Explorer y permite el acceso remoto a un atacante. 

La puerta trasera permite a un atacante realizar diversas funciones en el sistema comprometido, incluyendo la carga y descarga de archivos, ejecutar archivos y finalizar procesos en ejecución. Los sistemas infectados también intentan comunicarse con el dominio notes.topix21century.com a través de HTTPS. 

"Sólo tomó unos minutos escarbando dentro del sitio para encontrar la expotación ", dijo Ben Abu dijo a través de correo electrónico. También comentó que necesito cerca de 10 minutos esclarecer la explotación y señalar la vulnerabilidad subyacente. 

"Hice algunas depuraciones básica a la vulnerabilidad y encontré  el código dentro de Iepeers.dll", añadió. 

HD Moore en Metasploit confirmó que el código de explotación es bastante fiable. "Es 50% fiable sobre XP SP2/SP3 con IE7 (no DEP). Un poco mejor con IE6," dijo Moore en un e-mail. 

Microsoft ya activo su proceso de respuesta de seguridad y emitió un comunicado con algunas mitigaciones, pero la disponibilidad publica del código de explotación , incrementa la probabilidad de una actualización de emergencia mucho antes del próximo lote de parches mensual.