Vulnerabilidad 0-day siendo utilizada para propagar malware

Hace pocas horas se comenzó a detectar el inicio de un nuevo ejemplo de malware que aprovecha lo que parecería ser una vulnerabilidad 0-day hasta ahora desconocida públicamente.  Ésta se reprodujo rápidamente en países como Estados Unidos e Irán, según información de ThreatSense.Net.

Para aquellos que no lo saben, una vulnerabilidad 0-day es aquella que es descubierta y está siendo explotada antes que una solución para la misma exista a través de algún parche o actualización, y por lo tanto puede ser aprovechada para penetrar sistemas y/o propagar malware.

En este caso nos encontramos con un posible agujero de seguridad en la interface del Explorador de Windows, por el cual si un usuario abre una carpeta cualquiera donde se encuentre almacenado un archivo especialmente diseñado para explotar la vulnerabilidad, éste se ejecutará automáticamente sin necesidad que el usuario haga doble clic sobre el mismo. Más información se puede encontrar en el advisory publicado por Microsoft, el cuál hasta ahora no contiene ningún parche e informa que la empresa está investigando.

Específicamente, la vulnerabilidad se encontraría en la forma en que el Windows Shell maneja los archivos LNK (accesos directos), y está siendo activamente explotada por malware que los productos de ESET ya están detectando como LNK/Autostart.A, y está relacionado con otro malware anterior llamado Win32/Stuxnet.A.

Algunas partes del código del malware podrían hacer pensar que el mismo tiene como objetivo atacar específicamente ciertos sistemas (SCADA), dado que inyectan código en procesos que solamente existen en los mismos. El malware se encuentra firmado digitalmente lo cuál podría, erróneamente, hacer pensar que se trata de software válido.

El malware en cuestión incorpora algunas funcionalidades de rootkits y se reproduce actualmente a través de dispositivos USB, aunque no se descarta que pueda usarse de otras formas dada la facilidad de explotación y la falta de una actualización, así como que tampoco puede descartarse que la vulnerabilidad no empiece a ser explotada por otros códigos maliciosos y amenazas informáticas.

La vulnerabilidad, y por ende los equipos que el malware puede aprovechar para ejecutarse sin interacción del usuario, afecta a Windows XP, Vista, 7, 2003 y 2008. No se descarta afecte a versiones anteriores pero como las mismas están fuera de su ciclo de vida, Microsoft no ha informado al respecto.

La recomendación para los usuarios de Internet es que mantengan al día su antivirus (ESET ya detecta esta amenaza genéricamente), y actualicen su sistema operativo a las últimas versiones ni bien el parche de seguridad sea liberado por Microsoft.

Ignacio Sbampato
Vicepresidente

Autor , ESET

Síguenos