jul 19 2010
Nueva vulnerabilidad grave en Windows (LNK – Accesos Directos)
Se ha descubierto un nuevo ataque contra Windows (en junio), que aprovecha una vulnerabilidad previamente desconocida. Lo interesante (y peligroso) en este caso, es que esta vulnerabilidad ha sido utilizada como nuevo método “revolucionario” para eludir la desactivación de AutoRun y ejecutarse bajo cualquier circunstancia cuando se inserta en el sistema una memoria USB extraíble, por ejemplo. Además, el troyano ha sido firmado digitalmente por una compañía legítima.
¿Cómo ha sido descubierto?
VirusBlokAda descubrió, ya el 17 de junio (lo que da una idea de la posible cantidad de tiempo que esta amenaza lleva atacando silenciosamente) módulos de un malware nuevo. Pasadas unas semanas, alertaron sobre algo realmente inusual en este troyano: su forma de propagarse a través de memorias USB prescindiendo del tradicional archivo autorun.inf, que permite la ejecución automática cuando se detecta un dispositivo extraíble y funcionalidad contra la que Microsoft lleva tiempo luchando.
El troyano usaba en cierta manera, una vulnerabilidad (para la que no existe parche) en archivos .LNK (accesos directos), que permite la ejecución de código aunque el AutoPlay y AutoRun se encuentren desactivados. A efectos prácticos, implica que se ha descubierto una nueva forma totalmente nueva de ejecutar código en Windows cuando se inserta un dispositivo extraíble, independientemente de que se hayan tomado todas las medidas oportunas conocidas hasta el momento para impedirlo.
¿Para qué estaba siendo usado?
Independientemente de su método de propagación, el investigador Frank_Boldewin comenzó a analizar una de las muestras y descubrió que el objetivo del malware estaba dirigido específicamente contra sistemas SCADA WinCC de Siemens, que se ejecutan en Windows. Dentro de su código contenía la contraseña por defecto “2WSXcder” para la base de datos central del producto de Siemens, y al parecer el fabricante recomienda no modificarla. Por tanto el troyano conseguía acceso de administración de la base de datos. Los sistemas “Supervisory Control and Data Acquisition (SCADA)” son programas críticos de producción industrial: toman datos muy sensibles de sensores de una fábrica, por ejemplo, y los envían a un sistema central para ser controlados. Se usan en grandes plantas de tratamiento de aguas, control eléctrico, de tráfico… Por tanto, se trata de un malware destinado a un perfil muy diferente del usuario “medio”. En otras palabras, malware para al espionaje industrial. Se está usando sobre todo en Indonesia, India e Irán.
Un malware muy profesional
El troyano se esconde con habilidades de rootkit para pasar desapercibido en los sistemas en los que consigue instalarse. Llama la atención, como se ha mencionado, el uso de una vulnerabilidad desconocida hasta ahora en los accesos directos, lo que da una nueva vuelta de tuerca a la pesadilla del AutoRun para Microsoft. Lejos de usar el tradicional autorun.inf (contra el que ya se puso remedio), se propaga en llaves USB en forma de archivos del tipo ~WTR4132.tmp, por ejemplo. Se parecen mucho a los ficheros temporales de Word que usa Office internamente cuando un fichero está en uso.
Para colmo, el troyano utiliza para su funcionalidad de rootkit unos drivers firmados digitalmente por la famosa empresa china Realtek. Esto significa que, en principio, solo Realtek puede ser responsable de ese código… excepto que su clave privada haya sido comprometida de alguna forma, cosa que no se ha confirmado todavía. En cualquier caso, Microsoft, muy acertadamente, ha trabajado con Verisign para revocar en sus sistemas los certificados (con el apoyo de Realtek también). Esto quiere decir que los sistemas bien configurados (que no puedan instalar drivers no firmados o firmados con certificados revocados) no sufrirán este problema… eso sí, tendrán que actualizar su lista de certificados a través de Windows Update
El uso de certificados legítimos es de lo más interesante para un malware, y lo hace una pieza casi única. Otros troyanos han sido firmados antes, pero no nos consta que se haya realizado la firma con un certificado válido de una empresa reconocida.
¿Y ahora qué?
El peor de los escenarios se presenta ahora para Microsoft, puesto que se han hecho públicos todos los detalles para aprovechar el fallo y, por tanto, se espera que aparezcan nuevos troyanos aprovechando una peligrosa vulnerabilidad para la que todavía no hay parche. La situación es, por tanto muy grave.
La nueva de ejecutar código en Windows es cuando se inserta un dispositivo extraíble, independientemente de que se hayan tomado todas las medidas oportunas conocidas hasta el momento para impedirlo. El fallo se aprovecha a través de archivos LNK (accesos directos) y supone un duro varapalo para Microsoft, pues los atacantes han conseguido descubrir la manera de eludir todas las medidas que se han tomado contra la ejecución automática en Windows.
Se espera pues un incremento de malware que se propague por dispositivos extraíbles puesto que en estos momentos (y hasta que Microsoft saque un parche), todos los Windows, independientemente de que esté actualizados y bien configurados, podrían llegar a ejecutar un fichero de forma “silenciosa” si se inserta un dispositivo extraíble como una llave USB.
Por ahora, la única forma de que la vulnerabilidad no funcione es realizando el siguiente cambio (aunque se perderá funcionalidad, por lo que es conveniente realizar una copia de seguridad para restaurar el valor cuando el problema esté solucionado):
* Poner en blanco el valor predeterminado (default) de la rama del registro:
HKEY_CLASSES_ROOTlnkfileshellexIconHandler
* Detener y deshabilitar el servicio “cliente web” (WebClient).
No está de más recordar que no se deben usar dispositivos extraíbles de dudosa procedencia. Aun así, se deben tomar las precauciones oportunas incluso contra los dispositivos en los que se confíe.
Lo más probable es que Microsoft publique el parche en cuanto esté disponible, independientemente de su ciclo de actualizaciones. Ahora que el problema es público y puede ser aprovechado por cualquiera, suponemos que muy posiblemente se adelante con respecto a la siguiente tanda de parches (programada para el 10 de agosto) o se retrase levemente con respecto a ésta. Esperamos en cualquier caso que no haya que esperar hasta septiembre para obtener una solución oficial.
jul 20, 2010 @ 09:31:52
Bueno compañero, si que es un grave problema, creo que debemos tener la esperanza de que Microsoft reaccione y nos ofrezaca el parche. Saludos
jul 19, 2010 @ 20:52:25
De antemano muchas gracias por la solucion que nos das, solo nos resta probarlo
jul 19, 2010 @ 19:59:39
Pues que pocoa,pero ahi que probar con la solucion que aqui nos dan vamos a ver si funciona.Gracias