Microsoft Windows 8.1 y versiones anteriores vulnerables a la vulnerabilidad de inyección XMLDOM en Internet Explorer 6 a 11

Cert-In, el equipo de respuesta a emergencias informáticas de India, ha advertido que Microsoft Windows 8.1 y sus versiones anteriores están en riesgo debido a una vulnerabilidad que existe en el control ActiveX XMLDOM. La vulnerabilidad puede ser ejecutada a través de Internet Explorer versión 6 a 11. Los hackers/atacantes pueden aprovechar esta vulnerabilidad para inyectar un código XMLDOM XML y obtener la información personal de los usuarios de PC con Windows o convertir la PC con Windows en una computadora zombie para participar en un ataque DoS o DDoS en sitios web.

Aunque la vulnerabilidad ha sido marcada como severa por Cert-In, un investigador de CXSecurity ha dicho que esta puede ser una vulnerabilidad de nivel medio bajo. Estoy reproduciendo todo el código dado por el investigador de CXSecurity :

el código anterior es impreso cortesía de cxsecurity.com

Ambas vulnerabilidades han sido clasificadas como sigue :

1. Vulnerabilidad de divulgación de información (CVE-2013-7331)

• Esta vulnerabilidad existe porque el control ActiveX XMLDOM contiene métodos que pueden filtrar información sobre un sistema informático al operador de un sitio web. Un atacante remoto podría explotar esta vulnerabilidad para obtener información sensible como letras de unidades locales, archivos y nombres de directorios al inducir a un usuario a visitar una página web especialmente diseñada y al examinar los códigos de error generados.*
• Cert-in ha dicho que esta vulnerabilidad está siendo explotada en la naturaleza, pero CXSecurity dice que esto puede llevar a una explotación solo marginal.

2. Vulnerabilidad de denegación de servicio (CVE-2013-7332)

• Esta vulnerabilidad existe debido a una detección inadecuada de recursión durante la expansión de entidades. Un atacante remoto podría explotar esta vulnerabilidad convenciendo a un usuario de visitar un documento XML diseñado que contenga un gran número de referencias de entidades anidadas para causar consumo de memoria y CPU resultando en condiciones de denegación de servicio (DoS). La máquina puede convertirse entonces en una ‘Computadora Zombie’ para lanzar un ataque de Denegación de Servicio (DoS) en la naturaleza o un ataque de Denegación de Servicio Distribuido (DDoS) dedicado.*
• Hasta ahora, Microsoft no ha emitido ninguna solución/parche para estas vulnerabilidades, pero hay una solución alternativa disponible si desea proteger su computadora. Debe configurar la zona de seguridad de Internet y la intranet local en la configuración de Internet Explorer a “Alta”. Esto desactivará tanto los controles ActiveX XMLDOM como la ejecución activa de scripts en su Internet Explorer y los scripts no podrán ejecutarse.