Vulnerabilidad 0-day siendo utilizada para propagar malware
julio 17, 2010 10:11 amHace pocas horas se comenzó a detectar el inicio de un nuevo ejemplo de malware que aprovecha lo que parecería ser una vulnerabilidad 0-day hasta ahora desconocida públicamente. Ésta se reprodujo rápidamente en países como Estados Unidos e Irán, según información de ThreatSense.Net.
Para aquellos que no lo saben, una vulnerabilidad 0-day es aquella que es descubierta y está siendo explotada antes que una solución para la misma exista a través de algún parche o actualización, y por lo tanto puede ser aprovechada para penetrar sistemas y/o propagar malware.
En este caso nos encontramos con un posible agujero de seguridad en la interface del Explorador de Windows, por el cual si un usuario abre una carpeta cualquiera donde se encuentre almacenado un archivo especialmente diseñado para explotar la vulnerabilidad, éste se ejecutará automáticamente sin necesidad que el usuario haga doble clic sobre el mismo. Más información se puede encontrar en el advisory publicado por Microsoft, el cuál hasta ahora no contiene ningún parche e informa que la empresa está investigando.
Específicamente, la vulnerabilidad se encontraría en la forma en que el Windows Shell maneja los archivos LNK (accesos directos), y está siendo activamente explotada por malware que los productos de ESET ya están detectando como LNK/Autostart.A, y está relacionado con otro malware anterior llamado Win32/Stuxnet.A.
Algunas partes del código del malware podrían hacer pensar que el mismo tiene como objetivo atacar específicamente ciertos sistemas (SCADA), dado que inyectan código en procesos que solamente existen en los mismos. El malware se encuentra firmado digitalmente lo cuál podría, erróneamente, hacer pensar que se trata de software válido.
El malware en cuestión incorpora algunas funcionalidades de rootkits y se reproduce actualmente a través de dispositivos USB, aunque no se descarta que pueda usarse de otras formas dada la facilidad de explotación y la falta de una actualización, así como que tampoco puede descartarse que la vulnerabilidad no empiece a ser explotada por otros códigos maliciosos y amenazas informáticas.
La vulnerabilidad, y por ende los equipos que el malware puede aprovechar para ejecutarse sin interacción del usuario, afecta a Windows XP, Vista, 7, 2003 y 2008. No se descarta afecte a versiones anteriores pero como las mismas están fuera de su ciclo de vida, Microsoft no ha informado al respecto.
La recomendación para los usuarios de Internet es que mantengan al día su antivirus (ESET ya detecta esta amenaza genéricamente), y actualicen su sistema operativo a las últimas versiones ni bien el parche de seguridad sea liberado por Microsoft.
Ignacio Sbampato
Vicepresidente
Promedio: 5
1-10-2010 a las 11:10 pm
[...] mediados de julio se detecto una amenaza llamada Win32/Stuxnet.A que poseía la particularidad de explotar una vulnerabilidad 0-day que [...]
1-10-2010 a las 10:31 pm
[...] mediados de julio se detecto una amenaza llamada Win32/Stuxnet.A que poseía la particularidad de explotar una vulnerabilidad 0-day que [...]
1-10-2010 a las 11:58 am
[...] mediados de julio se detecto una amenaza llamada Win32/Stuxnet.A que poseía la particularidad de explotar una vulnerabilidad 0-day que [...]
5-8-2010 a las 8:12 am
[...] disposición de los usuarios la actualización de seguridad MS10-046, que corrige la vulnerabilidad CVE-2010-2568. Esta vulnerabilidad estaba asociada al manejo que Windows hacía de accesos directos en versiones [...]
3-8-2010 a las 9:57 am
[...] vulnerabilidad 0-Day utilizada para propagar malware, puede acceder a nuestro Blog de Laboratorio: http://blogs.eset-la.com/laboratorio/2010/07/17/vulnerabilidad-shortcuts-linkstart-accesos-directos/ Por otro lado, la gran difusión que tuvo el caso del arquero Bruno Fernandes del equipo de fútbol [...]
3-8-2010 a las 9:03 am
[...] Para conocer más sobre la vulnerabilidad 0-Day utilizada para propagar malware, puede acceder a: http://blogs.eset-la.com/laboratorio/2010/07/17/vulnerabilidad-shortcuts-linkstart-accesos-directos/ [...]
3-8-2010 a las 2:29 am
[...] vulnerabilidad 0-Day utilizada para propagar malware, puede acceder a nuestro Blog de Laboratorio: http://blogs.eset-la.com/laboratorio/2010/07/17/vulnerabilidad-shortcuts-linkstart-accesos-directos/ Por otro lado, la gran difusión que tuvo el caso del arquero Bruno Fernandes del equipo de [...]
3-8-2010 a las 12:23 am
[...] http://blogs.eset-la.com/laboratorio/2010/07/17/vulnerabilidad-shortcuts-linkstart-accesos-directos/ [...]
2-8-2010 a las 10:53 am
[...] la aparición de la vulnerabilidad 0-day para sistemas Microsoft Windows , que estaba siendo aprovechada por el código malicioso Stuxnet, del cual ya hemos respondido las preguntas más importantes respecto a sus métodos de [...]
1-8-2010 a las 12:07 pm
[...] la aparición de la vulnerabilidad 0-day para sistemas Microsoft Windows , que estaba siendo aprovechada por el código malicioso Stuxnet, del cual ya hemos respondido las preguntas más importantes respecto a sus métodos de [...]
31-7-2010 a las 9:41 pm
[...] la aparición de la vulnerabilidad 0-day para sistemas Microsoft Windows , que estaba siendo aprovechada por el código malicioso Stuxnet, del cual ya hemos respondido las preguntas más importantes respecto a sus métodos de [...]
31-7-2010 a las 7:00 pm
[...] la aparición de la vulnerabilidad 0-day para sistemas Microsoft Windows , que estaba siendo aprovechada por el código malicioso Stuxnet, del cual ya hemos respondido las preguntas más importantes respecto a sus métodos de [...]
31-7-2010 a las 12:32 pm
Si, es buena idea de la creacion de una carpeta Autorun, pero seria mejor que la cifraras.
23-7-2010 a las 12:04 pm
Hola albert,
Sí, en Windows 7 este problema ya ha sido solucionado pero lamentablemente no así de forma retrospectiva para las versiones anteriores del sistema operativo.
Sebastián
23-7-2010 a las 1:56 am
Es un error que los dispositivos USB tengan autoarranque activado por default, una buena práctica es crear una carpeta Autorun.inf en los USB’s para que de este modo sea imposible colocar una autoarranque.
21-7-2010 a las 12:55 pm
[...] Para acceder a más información puede ingresar a nuestro blog del laboratorio http://blogs.eset-la.com/laboratorio/2010/07/17/vulnerabilidad-shortcuts-linkstart-accesos-directos/ [...]
20-7-2010 a las 9:05 am
[...] Para acceder a más información puede ingresar a nuestro blog del laboratorio: http://blogs.eset-la.com/laboratorio/2010/07/17/vulnerabilidad-shortcuts-linkstart-accesos-directos/ [...]
17-7-2010 a las 12:24 pm
Que buen post. En estas oportunidades podemos ver la genialidad de ThreatSense.Net funcionando.