Luego de la masiva repercusión que tuvo, y que aún tiene, la vulnerabilidad 0-Day (CVE-2010-2568) que es activamente explotada en este momento por dos códigos maliciosos catalogados por ESET NOD32 como Win32/Stuxnet.A y LNK/Autostart.A; son muchos los descubrimientos y novedades que surgen en torno a esta amenaza, debido a la criticidad que representa la vulnerabilidad en cuestión, pero que en definitiva terminan siendo un tanto ambiguos creando solo confusión.

Bajo esta situación y para una mejor comprensión de lo que realmente representa esta amenaza para cualquier sistema de información, responderemos algunas preguntas genéricas que buscan aclarar el panorama.

¿En qué consiste la vulnerabilidad en LNK?
La vulnerabilidad, catalogada en la lista CVE como  CVE-2010-2568, afecta a la familia de sistemas operativos de Microsoft, aparentemente, a partir de Windows XP. Esta consiste en explotar una debilidad que se encuentra en la forma en que Windows analiza los enlaces directos (archivos con extensión LNK) a través del Explorador de Windows.

En base a esto, un atacante podría ejecutar cualquier tipo de código malicioso a través de un ícono de acceso directo, en el momento en que se procede a la apertura de una carpeta, manipulado para tal fin.

¿Cómo funciona la explotación?
La versión original de esta vulnerabilidad (que como todo exploit nació como una PoC – Prueba de Concepto) consiste en la manipulación maliciosa de un archivo .lnk (correspondiente a los accesos directos) que enlaza a un archivo del tipo DLL. Ambos códigos maliciosos son detectados por las soluciones de ESET como  Win32/Exploit.CVE-2010-2568 (el rootkit) y LNK/Exploit.CVE-2010-2568 (el exploit) respectivamente.

De todas formas, debido a la manera en que Windows, a través de la shell, procesa las instrucciones del archivo LNK, el proceso de infección se activa aún sin la intervención del usuario; es decir, sin que el usuario ejecute manualmente el archivo.

¿Cómo está siendo explotada?
La vulnerabilidad está siendo explotada a través de códigos maliciosos. Hasta el momento se han descubierto dos tipos de malware (un troyano y un gusano con capacidades de rootkit) catalogados por ESET como Win32/Stuxnet.A y LNK/Atostart.A.

De todos modos, el código del exploits ya ha sido publicado por lo que no se descarta la posibilidad de que en corto plazo aparezcan nuevas variantes de estas amenazas o bien nuevas familias de malware específicamente diseñadas para propagarse a través de esta vulnerabilidad.

Ver m�s… »

Categories: Alertas, Malware, Vulnerabilidades
4 Comments »

Interesantes las estadísticas que nos encontramos ayer a través de Twitter (@Simubucks), brindadas en la Microsoft’s Worldwide Partner Conference. Allí, Tammi Reller afirmó que los estudios de la empresa fundada por Bill Gates indican que el74% de las computadoras en empresas todavía están utilizando Windows XP. Otro dato brindado en la misma conferencia afirma que la antiguedad promedio de las computadoras en entornos corporativos es de 4,4 años, el valor más alto en toda la década.

Hoy por la mañana les comentaba, por ejemplo, el problema que posee Windows XP con los dispositivos USB. Pero, además, hoy es un día relevante para traer esta noticia a colación, ya que ayer fue el día que finalizó el soporte para Windows XP SP2, por lo tanto no está de más recordarles la importancia desde el punto de vista de la seguridad: aquellos que utilicen estos sistemas estarán expuestos a vulnerabilidades críticas sin parches que podrían ser aprovechadas por gusanos informáticos como Conficker, y causar daños importantes en la información de la compañía.

Por lo tanto, si se encuentran en esa situación es recomendable actualizar al Service Pack 3 o bien a versiones más modernas del sistema operativo como Windows Vista o Windows 7.

Sebastián Bortnik
Analista de Seguridad

Categories: Malware
2 Comments »

En menos de 10 días, más específicamente el 13 de julio, Microsoft hará efectivo el fin de soporte para dos versiones de su sistema operativo: Windows 2000 y Windows XP SP2.

En el primer caso, de Windows 2000, se termina definitivamente el soporte para dicha plataforma; esto significa que no recibirá más actualizaciones de seguridad, aunque sí se mantendrá la ayuda en línea con la base de conocimientos. En el caso de Windows XP SP2, Microsoft ha duplicado el tiempo de vida de esta versión, ya que su política es mantener un Service Pack por 12 meses luego del lanzamiento de una nueva versión. Sin embargo, ya se están cumpliendo casi dos años desde el lanzamiento del Service Pack 3 y recién ahora se deja de dar soporte al SP2.

Esto tiene un impacto a nivel seguridad en aquellos usuarios o empresas que estén utilizando algunas de estas versiones, ya que al detenerse la publicación de parches de seguridad es posible que aparezcan vulnerabilidades que permitan la ejecución de código remoto y que estas sean aprovechadas por un gusano para infectar sistemas.

Códigos maliciosos como el Conficker se han aprovechado de estas vulnerabilidades para lograr tasas de infección y tiempos de vida muy importantes en el escenario de malware, y particularmente en el ámbito de empresas. Todo esto teniendo en cuenta que se trata de un caso con un parche de seguridad disponible. Por lo tanto, ante incidentes similares con versiones de software sin soporte, la gravedad del caso puede ser aún mayor.

Por lo tanto, recuerden la importancia de mantener actualizados sus sistemas operativos y si están utilizando algunas de las versiones mencionadas, es hora de pensar en pasar a otras más modernas con soporte.

Sebastián Bortnik
Analista de Seguridad

Categories: Malware
4 Comments »

Hace unos meses que no les acercábamos noticias sobre el gusano Conficker, cuando en febrero les contábamos que seguía afectando organizaciones en todo el mundo. A pesar de ello, el código malicioso que nació en noviembre del 2008 sigue apareciendo como uno de los más detectados, incluso en el primer lugar en nuestro último Ranking de Amenazas Destacadas de Mayo.

Casualmente, me encontraba leyendo por estos días el último Microsoft Security Intelligence Report Volume 8, el informe que la empresa fundada por Bill Gates realiza semestralmente resumiendo varios aspectos de seguridad: malware, vulnerabilidades, spam, phishing, rogue, y otras amenazas; son tratados en el informe.

Y sobre Conficker aparece un dato muy interesante: Conficker afecta más a la empresa que al hogar. Si se analizan los códigos maliciosos más detectados por Microsoft, separando los equipos que pertenecen a un dominio (entornos corporativos) y aquellos que no (usuarios domésticos), se observa que en el primer caso Win32/Conficker aparece en primer lugar con el 24,4%, mientras que en el segundo aparece en décimo lugar con el 3,7%. Estos son los gráficos originales del informe:

Estos datos se condicen con la información que hemos publicado, llegando Conficker incluso a ser detectado en el 25% de las computadoras de Argentina. Pero ante un resumen tan gráfico de las diferencias entre entornos, la pregunta que cabe hacerse es: ¿por qué Conficker afecta más a las redes corporativas? Veamos algunas posibles respuesta a esta pregunta:

• Para que no se propague Conficker es necesario tener instalado el parche de seguridad. ¿Podría concluirse que las empresas instalan menos las actualizaciones de los usuarios? No existen estadísticas para afirmar esto con certeza, aunque el mismo informe de Microsoft certifica que son muchos los usuarios que utilizan Windows Update en lugar de servicios como WSUS, que permiten la gestión centralizada de las actualizaciones de varios productos de Microsoft. Lamentablemente, un servicio como WSUS no es tan utilizado como debiera, dado que es gratuito y ofrece grandes ventajas a las empresas.
• El factor fundamental es que Conficker se propaga por la red, por lo cual en redes corporativas que no posean las medidas de protección ante esta amenaza, el hecho de que se infecte una única máquina tendrá como consecuencia la infección de todos los equipos de la red en un lapso muy corto de tiempo. Además, el gusano seguirá presente en la red hasta que todos los sistemas posean las medidas de seguridad para eliminarlo por completo.
• Por último, el hecho de que Conficker se propaga por explotación de vulnerabilidades, dispositivos USB y carpetas compartidas, hace que sea necesario tener cubiertos los tres aspectos y contar con una solución antivirus para tener el escenario seguro deseado; y por lo tanto la necesidad (en entornos corporativos) de contar con políticas de seguridad. La ausencia de estas es un problema que ya hemos mencionado en Pecados capitales de la seguridad para PyMEs.

Este tipo de datos corroboran cómo las empresas deben mantener mayor cuidado ante las mismas amenazas que se presentan para ambos escenarios. La complejidad de las redes, sumado a la criticidad de la información que allí se maneja (y el impacto que esto tiene en el costo causado por incidente) hace que las empresas deban tener especial cuidado con estas amenazas que, aunque también afectan al usuario hogareño, lo hacen en otra magnitud.

Sebastián Bortnik
Analista de Seguridad

Categories: Malware
3 Comments »