Recientemente se ha descubierto una vulnerabilidad de día cero explotada activamente por atacantes en Internet Explorer, el navegador que Microsoft supuestamente dejó de usar hace más de un año. En su más reciente Patch Tuesday, Microsoft ha lanzado parches para un total de 142 vulnerabilidades, incluyendo cuatro de día cero. Mientras que dos de estas vulnerabilidades ya eran conocidas públicamente, las otras dos habían sido explotadas activamente por actores maliciosos.
De manera notable, una de estas vulnerabilidades de día cero, supuestamente utilizada para robar contraseñas durante los últimos 18 meses, se encontró en Internet Explorer. Este es el mismo navegador que Microsoft dejó de desarrollar en 2015 y que planeaba retirar de forma definitiva en febrero de 2023. Sin embargo, el navegador ha demostrado ser más resistente de lo esperado, desafiando los esfuerzos por descontinuarlo.
Conoce más sobre: Actualización de Julio de Microsoft: Parches para 143 Vulnerabilidades
Un reciente análisis de Kaspersky destaca el último esfuerzo de Microsoft por deshacerse de Internet Explorer. Aunque la historia completa está disponible en el enlace, aquí se presenta un resumen: en la llamada "actualización de despedida", Microsoft no eliminó completamente el navegador del sistema, sino que lo deshabilitó, y esto no en todas las versiones de Windows.
Esto significa que, en la práctica, Internet Explorer sigue presente en el sistema, aunque los usuarios no pueden ejecutarlo como un navegador independiente. Por lo tanto, cualquier nueva vulnerabilidad descubierta en este navegador, que se supone está obsoleto, aún puede representar una amenaza para los usuarios de Windows, incluso para aquellos que no han utilizado Internet Explorer en años.
La vulnerabilidad identificada como CVE-2024-38112 es un fallo en el motor de navegador MSHTML, que alimenta a Internet Explorer. Con una calificación de 7,5 sobre 10 en la escala CVSS 3, se le ha asignado un nivel de gravedad “alto”.
Para explotar esta vulnerabilidad, los atacantes deben crear un archivo malicioso con formato de acceso directo a Internet aparentemente inofensivo (.url, Windows Internet Shortcut File), que incluya un enlace con el prefijo mhtml. Al abrir este archivo, se inicia Internet Explorer en lugar del navegador predeterminado del usuario, aprovechando así los deficientes mecanismos de seguridad de IE.
Para entender a fondo cómo opera esta vulnerabilidad, veamos el ataque en el que fue descubierta. Todo inicia al enviar al usuario un archivo .url que simula ser un archivo PDF, mostrando el icónico ícono característico, pero en realidad posee una doble extensión .pdf.url.
El archivo .url malicioso contiene un enlace con el prefijo "vulnerable" mhtml y dos líneas finales que cambian el ícono al de un PDF.
Así, para el usuario, el archivo parece ser un acceso directo a un PDF, algo aparentemente inofensivo. Si el usuario hace clic en el archivo, se activa la vulnerabilidad CVE-2024-38112. Debido al prefijo mhtml en el archivo .url, este se abre en Internet Explorer en lugar del navegador predeterminado del sistema.
Al abrir el archivo malicioso, se activa Internet Explorer.
El problema radica en que, en el cuadro de diálogo correspondiente, Internet Explorer muestra el nombre del archivo .url, simulando ser un acceso directo a un PDF. Por lo tanto, es razonable suponer que al hacer clic en "Abrir", se mostrará un PDF. Sin embargo, en realidad, el acceso directo abre un enlace que descarga y ejecuta un archivo HTA.
Este archivo HTA es una aplicación HTML, un programa en uno de los lenguajes de programación desarrollados por Microsoft. A diferencia de las páginas web HTML comunes, estos scripts se ejecutan como aplicaciones completas y pueden realizar diversas acciones, como editar archivos o modificar el registro de Windows. En resumen, son extremadamente peligrosos.
Cuando se inicia este archivo, Internet Explorer muestra una advertencia poco informativa en un formato familiar para los usuarios de Windows, que muchos simplemente ignorarán.
Al hacer clic en "Permitir", se inicia un malware en la computadora del usuario que roba información. Este malware recopila contraseñas, cookies, historial de navegación, claves de billetera criptográfica y otra información valiosa almacenada en el navegador, enviándola luego al servidor de los atacantes.
Podría interesarte leer: ¿Tu software está al día?: Importancia de los Parches
Microsoft ha solucionado esta vulnerabilidad con una actualización. Instalarla asegura que el truco con mhtml en archivos .url ya no funcionará y que dichos archivos se abrirán en el navegador Edge, que es más seguro.
No obstante, este incidente nos recuerda que el navegador "fallecido" seguirá siendo una amenaza para los usuarios de Windows en el futuro cercano. Por lo tanto, es recomendable instalar rápidamente todas las actualizaciones relacionadas con Internet Explorer y el motor MSHTML, así como utilizar soluciones de seguridad confiables en todos los dispositivos Windows.