Microsoft ha publicado un aviso de seguridad en el que informa que esta investigando ataques que se aprovechan de una vulnerabilidad en el intérprete de comandos de Windows.
Sistemas Afectados
- Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 para sistemas Itanium
- Windows Vista Service Pack 1
- Windows Vista Service Pack 2
- Windows Vista x64 Edition Service Pack 1
- Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 para 32-bit
- Windows Server 2008 para 32-bit Service Pack 2
- Windows Server 2008 para x64
- Windows Server 2008 para x64 Service Pack 2
- Windows Server 2008 para sistemas Itanium
- Windows Server 2008 para sistemas Itanium Service Pack 2
- Windows 7 para 32-bit
- Windows 7 para x64
- Windows Server 2008 R2 para x64
- Windows Server 2008 R2 para sistemas Itanium
Detalle
La vulnerabilidad existe porque Windows lee incorrectamente determinados enlaces directos (ficheros .lnk) que han sido previamente modificados, de tal manera que cuando el usuario visualiza dichos enlaces se ejecuta el código malicioso.
Según investigaciones de Frank Boldewin el objetivo del malware (perteneciente a la familia Stuxnet) que hace uso de esta vulnerabilidad está dirigido específicamente contra sistemas SCADA de gestión de infraestructuras WinCC de Siemens, que se ejecutan en entornos Windows aunque puede ser empleado para atacar a cualquier equipo Windows vulnerable. Se trata de un troyano con funcionalidades de rootkit para ocultar su presencia en el sistema y que se propaga fundamentalmente mediante dispositivos USB sin hacer uso del tradicional autorun.inf, es decir, que simplemente utilizando un explorador de ficheros que visualice iconos es suficiente para infectar el equipo.
Además hace uso de drivers firmados digitalmente por Realket lo que hace al troyano más ofensivo. Microsoft junto con Verising ha comenzado a revocar en sus sistemas tales certificados por lo que los equipos que hayan actualizado su lista de certificados mediante windows update no serán afectados por este malware. Cabe destacar que equipos Windows XP y Windows 2000 que se encuentren fuera del «ciclo de vida» no recibirán más actualizaciones dejando sus sistemas vulnerables a esta amenaza. Si la reproducción automática (autorun) está deshabilitada, cuando un USB con un .lnk malicioso es insertado la infección no se llevará a cabo. El exploit es lanzado cada vez que un directorio que contiene un LNK malicioso es abierto independientemente del directorio en el que se encuentre. Los ficheros LNK apuntan a varios ficheros binarios ocultos (~wtr4141.tmp y ~wtr4132.tmp) que tras la infección instalarán dos controladores: mrxcls.sys y mrxnet.sys en %SystemRoot%System32drivers y que se encargarán entre otras acciones de seguir propagándose a otros dispositivos USB. El hecho de no necesitar ningúna acción por parte del usuario lo hace extremadamente serio ya que el mismo puede ser abierto en cualquier lugar, incluidas unidades compartidas, WebDAv, etc.
0 comentarios
Deja un comentario