Microsoft ha comunicado que se han empezado a lanzar ataques contra una vulnerabilidad crítica de día cero en Internet Explorer que afecta a todas las versiones del navegador excepto a la beta de IE9.
Otras firmas de seguridad han confirmado la existencia de estos ataques, tipo “dry-by” y principalmente dirigidos contra IE6. Aunque la vulnerabilidad se encuentra en todas las versiones comerciales de IE, el equipo de Security Response Center de Microsoft asegura que de momento sólo se han visto ataques contra la versión 6.
IE8 padece la vulnerabilidad, pero resulta inmune a la actual oleada de ataques porque activa DEP (Data Execution Prevention) por defecto. DEP es una de las dos principales medidas de defensa de Windows –la otra es ASLR (Address Space Layout Randomization– diseñadas para bloquear ataques o al menos dificultar su éxito.
Explotando esta vulnerabilidad, los hackers pueden secuestrar PC Windows simplemente consiguiendo que los usuarios visiten un sitio web malicioso, de forma que la infección queda totalmente inadvertida por las víctimas (lo que se conoce como ataques dry-by).
Así, si cualquier usuario visita un sitio hackeado utilizando navegadores IE6 o IE7 –la primera no soporta DEP y la segunda no lo activa por defecto– resultará infectado con un código malicioso diseñado para abrir una puerta trasera en el equipo comprometido y a continuación descargará una serie de archivos con comandos adicionales.
De momento Microsoft no ha dicho cuando prevé parchear la brecha. Simplemente ha urgido a los usuarios a protegerse actualizando sus navegadores a la beta de IE9 o aplicando otras medidas, como la activación de DEP en IE7, la aplicación de páginas CSS (Custom Cascading Style) para formatear los documentos cargados en IE o el despliegue y configuración de EMET (Enhanced Mitigation Experience Tool), herramienta gratuita descargable desde el sitio web de Microsoft.