Vulnerabilidad de ejecucion remota de codigo en Windows JScript
Existe una vulnerabilidad en el componente JScript del sistema operativo Windows que puede permitir que un atacante ejecute código malicioso en la computadora de un usuario.
El responsable de descubrir este error es Dmitri Kaslov de Telspace Systems, quien lo transmitió a la iniciativa Zero-Day Initiative (ZDI) de Trend Micro, un proyecto que intermedia el proceso de divulgación de vulnerabilidades entre investigadores independientes y grandes empresas.
Los expertos de ZDI informaron el problema a Microsoft en enero, pero Microsoft aún tiene que lanzar un parche para esta vulnerabilidad. Ayer, ZDI publicó un resumen que contiene detalles técnicos ligeros sobre el error.
El error de JScript conduce a RCE
Según este resumen, la vulnerabilidad permite a los atacantes remotos ejecutar código malicioso en las PC de los usuarios.
Como la vulnerabilidad afecta al componente JScript (implementación personalizada de JavaScript de Microsoft), la única condición es que el atacante debe engañar al usuario para que acceda a una página web maliciosa, o descargar y abrir un archivo JS malicioso en el sistema (generalmente ejecutado a través de Windows Script Host -wscript.exe).
"La falla específica existe dentro del manejo de objetos Error en JScript", explicaron los expertos de ZDI. "Al realizar acciones en [JScript], un atacante puede hacer que un puntero se reutilice después de que se haya liberado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual".
"Debido a la sensibilidad del error, no queremos proporcionar demasiados detalles técnicos hasta que Microsoft tenga disponible una solución completa", le dijo Brian Gorenc, director de Zero Day Initiative de Trend Micro.
Gorenc dijo que la vulnerabilidad no es tan peligrosa como parece, ya que no permite un compromiso total del sistema.
"La falla solo permite la ejecución del código dentro de un entorno de espacio aislado", dijo Gorenc. "Un atacante necesitaría exploits adicionales para escapar de la zona de pruebas y ejecutar su código en el sistema de destino".
La vulnerabilidad ha recibido una calificación de 6.8 de 10 en la escala de gravedad CVSSv2, que es una puntuación bastante alta, en comparación con la mayoría de las vulnerabilidades.
Microsoft está trabajando en un parche
Según Gorenc, viene un parche. "Hasta donde tenemos conocimiento, Microsoft todavía tiene la intención de liberar una solución para este error. Sin embargo, no completaron la corrección dentro de los plazos establecidos en nuestra política de divulgación".
ZDI generalmente le da a las compañías 120 días para corregir las fallas reportadas antes de que salgan a bolsa con sus advertencias. Según una línea de tiempo de las respuestas de Microsoft, el fabricante del sistema operativo tuvo dificultades para reproducir el código de prueba de concepto necesario para desencadenar la vulnerabilidad, perdiendo alrededor del 75% de los 120 plazos de divulgación, dejando a sus ingenieros poco tiempo para armar y probar un parche a tiempo para el martes de parche de mayo.
Si bien Microsoft no proporcionó un cronograma exacto de cuándo planea implementar un parche, un vocero confirmó que están trabajando en una solución.
Gorenc agregó que ZDI no estaba al tanto de los intentos del mundo real de explotar esta falla en el momento de la divulgación. Con pocos detalles técnicos disponibles en línea, es más probable que permanezcan así hasta que Microsoft publique las correcciones.
Por ahora, los expertos de ZDI aconsejan a los usuarios que no permitan que las aplicaciones que dependen del componente JScript, como Internet Explorer, wscript.exe y otras, procesen código o archivos JS que no sean de confianza.