domingo, 18 de julio de 2010

Nueva vulnerabilidad de Windows peligrosa, ya aprovechada y sin parche disponible

Tal y como detalla Hispasec en su último "Una al día", la investigación de un nuevo, sofitsticado y "peligroso" ataque contra sistemas informáticos empresariales ha revelado la existencia de una vulnerabilidad previamente desconocida de Microsoft Windows y una forma peligrosa de aprovecharla que algunos han calificado de "nuevo método revolucionario" para lograr ejecutar malware arbitrario al abrir con Explorer de Windows una memoria USB extraíble o un compartido de red independientemente de que se hayan tomado todas las medidas oportunas conocidas hasta el momento para impedirlo.

En concreto el ataque ha sido realizado mediante un troyano (denominado Stuxnet y descubierto por VirusBlokAda):
  • con una firma digital auténtica suplantada de Realtek
  • con características de "RootKit" para evitar su detección
  • contra organizaciones con el sistema SCADA WinCC de Siemens lo que delata propósitos de espionaje industrial
  • usando una vulnerabilidad desconocida hasta el momento del componente Windows Shell de Microsoft de al menos Windows 2000, XP, Vista, 7, Server 2003 y Server 2008
características que sumadas hacen justo el calificativo de ataque sofisticado. Este caso revela una vez más cuánto están de expuestos a diversos tipos de robos los datos de cualquier tipo (doméstico, empresarial) guardados o accesibles desde los PCs aún dentro de organizaciones con medidas de seguridad "clásicas" del tipo bastionado con cortafuegos, antivirus y sistemas operativos actualizados, desactivación de la autoejecución de Cds y lápices USB, etc


El Internet Storm Center de SANS , que califica la vulnerabilidad de "extremadamente seria", ha confirmado que el método concreto de aprovechamiento ("exploit") de la vulnerabilidad funciona (con pruebas en Windows XP, Vista y 7) y permite mediante el uso de archivos .LNK (accesos directos) adecuadamente preparados la ejecución del programa malicioso deseado simplemente mediante la apertura con el Explorador de Windows de la carpeta que contenfa los ficheros.

Se teme que en un corto plazo todo tipo de malware comience a usar este nuevo método para propagarse.

Microsoft ya ha emitido un boletín de seguridad fuera de ciclo para la vulnerabilidad para la que, a la espera de que emita una solución en forma de actualización del componente de Windows vulnerable ("parche") , propone como medidas -con efectos colaterales indeseados en muchos casos- para esquivar los ataques ("workarounds"):
  • Deshabilitar la visualización de los iconos de los accesos directos poniendo en blanco el valor predeterminado (default) de la rama del registro:
    HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler

  • Detener y deshabilitar el servicio "Cliente Web" o WebClient (al hacerlo dejarán de funcionar los compartidos WebDAV)

Además Microsoft recomienda lo habitual: no utilizar cuentas con privilegios de administrador, no abrir memorias USB ni compartidos no confuables, filtrar los accesos de red de Windows (SMB) en lo posible, utilizar un antivirus y mantener actualizado el sistema.


Se da la especial circusntancia de que Microsoft sólo considera Windows XP Service Pack 3 en su Boletín y no Windows XP Service Pack 2 ni Windows 2000 confirmando el fin de soporte recientemente anunciado de esas versiones del sistemas operativo. Esto delata que no habrá parches de Microsoft para esta vulnerabilidad para esos sistemas (XP SP 2 y cualquier 2000) también vulnerables, lo que sería muy relevante si finalmente se extienden este tipo de ataques, lo que hace más recomendable si cabe todavía la instalación y despliegue de Service Pack 3 para Windows XP -si es que sigue pendiente- y la migración o protección especial de los equipos con Windows 2000.

Entradas relacionadas:

No hay comentarios: