0-Day en Internet Explorer 7, 8 y 9

Si todavía no te has pasado a Google Chrome o Mozilla Firefox, y sigues utilizando el navegador web de Microsoft en sus versiones 7,8 y 9, estás expuesto a que alguien intercepte tu equipo con sólo visitar una página web de tu atacante. Así de sencillo.

Si ya de por si un Zero Day en una aplicación es algo crítico, más lo es cuando se trata del navegador web más utilizado entre la gente con bajos conocimientos de informática, principalmente porque es el navegador que viene de serie en todos los sistemas Windows.

Un Zero Day (0day), para aquellos que no les suene, es una vulnerabilidad en una aplicación en sus inicios, es decir; cuando todavía el desarrollador no ha publicado un parche, o no hay manera de protegerse contra dicho bug. Para el fallo que nos concierne en este artículo lo único que podemos hacer para estar a salvo al 100% de un ataque es dejar de usar las versiones anteriormente citadas de este navegador.

Puedes leer el aviso de seguridad que publicó Microsoft confirmando este problema. La vulnerabilidad fue descubierta por Eric Romang mientras analizaba unos equipos que se encontraban afectados por la vulnerabilidad en Java descubierta semanas atrás.

En el framework de Metasploit podemos encontrar el exploit que permite aprovechar este bug de Internet Explorer, y en el vídeo que se muestra a continuación podemos ver los sencillos pasos que puede seguir cualquiera para explotar un equipo potencialmente vulnerable.