El fin de soporte oficial de Microsoft para la aplicación de escritorio Internet Explorer 11 el 15 de junio relegó a la historia un navegador que existe desde hace casi 27 años. Aun así, es probable que IE aún proporcione un objetivo jugoso para los atacantes.

Esto se debe a que algunas organizaciones todavía usan Internet Explorer (IE) a pesar de los planes conocidos de Microsoft de desaprobar la tecnología. Mientras tanto, Microsoft ha conservado el motor de navegador IE MSHTML (también conocido como Trident) como parte de Windows 11 hasta 2029, lo que permite a las organizaciones ejecutar en modo IE mientras hacen la transición al navegador Microsoft Edge. En otras palabras, IE no está muerto todavía, ni lo están las amenazas.

Aunque IE tiene una parte insignificante del mercado de navegadores en todo el mundo en estos días (0,52%), muchas empresas aún lo ejecutan o tienen aplicaciones heredadas vinculadas a IE. Este parece ser el caso en países como Japón y Corea. Historias en Nikkei Asia y Tiempos de Japón esta semana citó una encuesta realizada por Keyman’s Net que muestra que casi el 49% de las 350 empresas japonesas encuestadas todavía usan IE. Otro informe en el MBN de Corea del Sur señaló que varias organizaciones grandes todavía está ejecutando IE.

«Internet Explorer existe desde hace más de 20 años y muchas empresas han invertido en su uso para muchas cosas más allá de la navegación web», dice Todd Schell, gerente senior de productos de Ivanti. Todavía hay aplicaciones empresariales estrechamente vinculadas a IE que a menudo ejecutan scripts personalizados más antiguos en su sitio web o tienen aplicaciones que pueden requerir scripts más antiguos. «Por ejemplo, las empresas pueden haber creado extensos scripts que generan y luego muestran informes en IE. No han invertido en actualizarlos para usar HTML 5 para Edge u otros navegadores modernos».

Estas organizaciones enfrentan el tipo de problemas de seguridad asociados con cualquier otra tecnología de software que ya no es compatible. Ejecutar IE 11 como una aplicación independiente más allá de su fecha de finalización del soporte significa que las vulnerabilidades previamente desconocidas, o peor aún, conocidas pero sin parches, pueden explotarse en el futuro, dice Schell.

«Esto es cierto para cualquier aplicación o sistema operativo, pero históricamente ha sido un problema aún mayor para los navegadores, que tienen un uso tan generalizado», dice Schell. Es difícil decir cuántas organizaciones en todo el mundo están atrapadas actualmente en el uso de una tecnología que ya no es compatible porque no migraron antes. Pero a juzgar por el hecho de que Microsoft continuará admitiendo el modo de compatibilidad en Edge hasta 2029, es probable que IE siga siendo de uso generalizado, señala.

Cualquier organización que aún no lo haya hecho debería priorizar alejarse de IE debido a las implicaciones de seguridad, dice Claire Tills, ingeniera de investigación sénior de Tenable. «El final del soporte significa que las nuevas vulnerabilidades no recibirán parches de seguridad si no alcanzan un cierto umbral de criticidad e, incluso en esos casos excepcionales, esas actualizaciones solo estarán disponibles para los clientes que hayan pagado por las Actualizaciones de seguridad extendidas», dijo. dice.

Los errores aún abundan

Microsoft Edge ahora reemplazó oficialmente la aplicación de escritorio Internet Explorer 11 en Windows 10. Pero el hecho de que el motor MSHTML existirá como parte del sistema operativo Windows hasta 2029 significa que las organizaciones corren el riesgo de vulnerabilidades en el motor del navegador, incluso si son ya no usa IE.

Según Maddie Stone, investigadora de seguridad del equipo de búsqueda de errores Project Zero de Google, IE ha tenido una buena cantidad de errores de día cero en los últimos años, incluso cuando su uso se redujo. El año pasado, por ejemplo, el equipo de Project Zero rastreó cuatro días cero en IE — la mayor cantidad desde 2016, cuando se descubrió la misma cantidad de días cero en el navegador. Tres de las cuatro vulnerabilidades de día cero del año pasado (CVE-2021-26411, CVE-2021-33742y CVE-2021-40444) apuntaron a MSHTML y fueron explotados a través de métodos distintos a la Web, dice Stone.

«No me queda claro cómo Microsoft puede o no bloquear el acceso a MSHTML en el futuro», dice Stone. «Pero si el acceso permanece como está ahora, significa que los atacantes pueden explotar vulnerabilidades en MSHTML a través de rutas como documentos de Office y otros tipos de archivos como vimos el año pasado» con los tres días cero de MSHTML, dice. La cantidad de exploits de día cero detectados en los componentes de IE como objetivo salvaje ha sido bastante constante desde 2015 hasta 2021 y sugiere que el navegador sigue siendo un objetivo popular para los atacantes, dice Stone.

Tills de Tenable señala que una de las vulnerabilidades más explotadas en un producto de Microsoft en 2021 fue, de hecho, CVE-2021-40444, una ejecución remota de código de día cero en MSHTML. La vulnerabilidad fue ampliamente explotada en ataques de phishing por todo, desde operadores de ransomware como servicio hasta grupos avanzados de amenazas persistentes.

«Dado que Microsoft continuará admitiendo MSHTML, las organizaciones deben examinar las mitigaciones de vulnerabilidades como CVE-2021-40444 y determinar cuál pueden adoptar a largo plazo para reducir el riesgo de futuras vulnerabilidades», señala Tills.

Las mitigaciones habituales

Microsoft no estaba disponible a partir de esta publicación para comentar sobre el problema del riesgo potencial para las organizaciones de ataques dirigidos a MSHTML. Pero Schell de Ivanti dice que es razonable suponer que Microsoft ha proporcionado seguridad adecuada y sandboxing en torno a MSHTML cuando se ejecuta en modo de compatibilidad con IE. Él dice que Microsoft puede monitorear y proporcionar las actualizaciones necesarias para MSHTML, ya que es un producto y una función compatibles. La mejor mitigación, como siempre, es que las organizaciones mantengan su software, sistema operativo y navegador actualizados y se aseguren de que los mecanismos de detección de malware y antivirales también estén actualizados.

«MSHTML ahora es solo una de las muchas bibliotecas que tenemos en Windows 11», dice Johannes Ullrich, decano de investigación del Instituto SANS. «Por supuesto, es complejo y aún tiene una superficie de ataque significativa pero algo reducida», señala. Por lo tanto, la mejor mitigación para las organizaciones es seguir parcheando Windows cuando las actualizaciones estén disponibles, dice.

«IE sigue siendo lo suficientemente popular como para ser un objetivo valioso» para los atacantes, agrega Ullrich.

Aun así, el número continuo de días cero que se descubren en IE no significa necesariamente que los atacantes hayan intensificado repentinamente su interés en atacarlo. «Puede ser que fuera más fácil encontrar vulnerabilidades usando herramientas más nuevas en el antiguo código base de IE», dice Ullrich.

Author

Write A Comment