CVE-2018-8373 es una vulnerabilidad de ejecución remota de código severa que se fijó en Agosto 2018 Martes de parches. La vulnerabilidad se encuentra en Internet Explorer y la forma en que gestiona los objetos en la memoria. En el momento de la publicación del asesor, no hubo informes de infecciones activas.
Sin embargo, un análisis más detallado reveló que el problema parecía ser similar a otro tema que se abordó en las actualizaciones de parches de mayo martes. La vulnerabilidad también se incluyó en la estrategia de infección de múltiples troyanos.
Durante un mes más tarde, los investigadores de seguridad de Trend Micro se encontraron con otra explotación que utiliza la vulnerabilidad CVE-2.018-8373:
En septiembre 18, 2018, más de un mes después de publicar un blog que revela los detalles de un uso después de liberación (UAF) la vulnerabilidad CVE-2018-8373 que afecta al motor de VBScript en las últimas versiones de Windows, vimos otra hazaña, posiblemente en la naturaleza, que utiliza la misma vulnerabilidad, escribieron los investigadores recientemente.
Cabe señalar que este nuevo exploit que no funciona en sistemas que cuentan con versiones actualizadas de Internet Explorer.
Lo que es diferente en el Nuevo CVE-2018-8373 Exploit?
En lugar de modificar la estructura contexto de NtContinue para ejecutar código shell, los investigadores explicado, tal como en el caso de la muestra explotar anterior, esta nueva muestra obtiene permiso de ejecución de Shell.Application mediante la modificación de la bandera SafeMode en el motor de VBScript. Adicionalmente, la ejecución de esta hazaña se asemeja a las ejecuciones de CVE-2.014-6332 y explota CVE-2016-0189.
Los investigadores también descubrieron que los atacantes detrás de la nueva también explotan la vulnerabilidad de VBScript usar otro conocido como CVE-2018-8174, en un archivo alojado en un sitio web malicioso.