En concreto el ataque ha sido realizado mediante un troyano (denominado Stuxnet y descubierto por VirusBlokAda):
- con una firma digital auténtica suplantada de Realtek
- con características de "RootKit" para evitar su detección
- contra organizaciones con el sistema SCADA WinCC de Siemens lo que delata propósitos de espionaje industrial
- usando una vulnerabilidad desconocida hasta el momento del componente Windows Shell de Microsoft de al menos Windows 2000, XP, Vista, 7, Server 2003 y Server 2008
El Internet Storm Center de SANS , que califica la vulnerabilidad de "extremadamente seria", ha confirmado que el método concreto de aprovechamiento ("exploit") de la vulnerabilidad funciona (con pruebas en Windows XP, Vista y 7) y permite mediante el uso de archivos .LNK (accesos directos) adecuadamente preparados la ejecución del programa malicioso deseado simplemente mediante la apertura con el Explorador de Windows de la carpeta que contenfa los ficheros.
Se teme que en un corto plazo todo tipo de malware comience a usar este nuevo método para propagarse.
Microsoft ya ha emitido un boletín de seguridad fuera de ciclo para la vulnerabilidad para la que, a la espera de que emita una solución en forma de actualización del componente de Windows vulnerable ("parche") , propone como medidas -con efectos colaterales indeseados en muchos casos- para esquivar los ataques ("workarounds"):
- Deshabilitar la visualización de los iconos de los accesos directos poniendo en blanco el valor predeterminado (default) de la rama del registro:
HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler - Detener y deshabilitar el servicio "Cliente Web" o WebClient (al hacerlo dejarán de funcionar los compartidos WebDAV)
Además Microsoft recomienda lo habitual: no utilizar cuentas con privilegios de administrador, no abrir memorias USB ni compartidos no confuables, filtrar los accesos de red de Windows (SMB) en lo posible, utilizar un antivirus y mantener actualizado el sistema.
Se da la especial circusntancia de que Microsoft sólo considera Windows XP Service Pack 3 en su Boletín y no Windows XP Service Pack 2 ni Windows 2000 confirmando el fin de soporte recientemente anunciado de esas versiones del sistemas operativo. Esto delata que no habrá parches de Microsoft para esta vulnerabilidad para esos sistemas (XP SP 2 y cualquier 2000) también vulnerables, lo que sería muy relevante si finalmente se extienden este tipo de ataques, lo que hace más recomendable si cabe todavía la instalación y despliegue de Service Pack 3 para Windows XP -si es que sigue pendiente- y la migración o protección especial de los equipos con Windows 2000.
Entradas relacionadas:
- [13/07/2010] Fin de soporte de Windows 2000 y Windows XP Service Pack 2 (Emtrada nuestra)
- [14/07/2010] Actualización de Microsoft que soluciona la vulnerabilidad del Centro de Ayuda de Windows aprovechada en Internet (Entrada nuestra)
- [22/07/2010] Más sobre la grave vulnerabilidad de Windows: exploits públicos y contramedidas (Entrada nuestra)
No hay comentarios:
Publicar un comentario