Más sobre la grave vulnerabilidad de Windows: exploits públicos y contramedidas

Microsoft ha actualizado su boletín de seguridad sobre la ya famosa nueva y grave vulnerabilidad de Windows (del componente Windows Shell en concreto) de la que ya era conocido existían métodos de ataque ("exploits") que se aprovechan del fallo utilizando ficheros de acceso directo (.LNK) maliciosamente preparados en discos, compartidos de red y de web (WebDaV), simplemente abriendo con el Explorador de Windows o Internet Explorer una carpeta que contenga el fichero LNK.

Ya se ha divulgado públicamente por Internet el código fuente de un "exploit" que ha sido integrado en la herramienta de software libre de comprobación explícita de posibilidad de intrusiones ("penetration testing") Metasploit.

Ahora Microsoft añade que la vulnerabilidad puede explotarse de similar forma utilizando ficheros .PIF y además que la posibilidad de explotación no se limita a ficheros en carpetas sino que se extiende también a documentos como documentos de Office, páginas web y correos electrónicos , documentos que tienen la posibilidad de incrustar accesos directos y otros tipos de objetos relacionados.

Para darse cuenta del nivel de riesgo sólo hay que pensar en la situación de una organización y un fichero malicioso que consiga ser depositado en un compartido de red (o de web WebDav, algo menos frecuente) que utilicen habitualmente un grupo muy importante de sus puestos, que estos puestos sean vulnerables o no tengan implementada una contramedida suficiente y que el ejecutable del fichero malicioso no sea detectado por el anvitirus corporativo (por ejemplo, porque es muy reciente): la infección sería generalizada en la organización en un plazo muy corto de tiempo.

Precisamente, Microsoft ha modificado también la lista de contramedidas ("workarounds") a la espera de que publique el parche que permita solucionar el problema definitivamente en los Windows con soporte:

• deshabilitar la visualización de los iconos de los accesos directos y ficheros PIF poniendo en blanco el valor predeterminado (default) de la ramas del registro:
  HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
  HKEY_CLASSES_ROOT\piffile\shellex\IconHandler
  
  Microsoft ha publicado una herramienta, Microsoft Fix it 50486, que realiza esa operación, así como la correspondiente herramienta para revertirla cuando el parche esté disponible. Nótese que tras esta contramedida también cambia el aspecto del Menú Inicio y la Barra de Tareas al contener iconos de accesos directos.
  
  
• Detener y deshabilitar el servicio "Cliente Web" o WebClient . Nótese que al hacerlo ya no se podrá acceder desde Internet Explorer a los compartidos WebDAV.
  
  
• Bloquear la descarga de ficheros LNK y PIF desde Internet con herramientas de filtro de contenidos adecuadas

A estas contramedidas recomendadas por Microsoft habría que añadir las que Didier Stevens ha publicado basadas en las "Políticas de Restricción de Software" de Windows.

Entradas relacionadas:

• [13/07/2010] Fin de soporte de Windows 2000 y Windows XP Service Pack 2 (entrada nuestra)
• [18/07/2010] Nueva vulnerabilidad de Windows peligrosa, ya aprovechada y sin parche disponible (entrada nuestra)
• [20/07/2010] SANS: Nivel amarillo de alerta para la seguridad de Internet por la vulnerabilidad de Windows (SANS)