Cronología de un ataque 0-day

En la actualidad, un gran porcentaje de códigos maliciosos están diseñados para realizar ataques aprovechando vulnerabilidades, como por ejemplo es el caso del gusano Conficker con la vulnerabilidad MS-0867, en propagación desde octubre de 2008 (y aún en actividad).

Cuando se trata de lo que se conoce como “vulnerabilidad 0-Day”, estos casos revisten aún mayor gravedad: una falla en la aplicación que aún no tiene solución por parte del fabricante. Muchas veces los atacantes descubren vulnerabilidades y comienzan a explotarlas antes que estas sean descubiertas por el fabricante y, por ende, arregladas; y en otros casos las mismas son publicadas por un investigador y los desarrolladores de malware aprovechan este dato con mayor rapidez que la empresa que debe publicar el parche de seguridad.

Es decir que en estos casos, la solución al problema siempre llega más tarde que los ataques, y en los casos que estos se vuelven masivos esto puede tener una criticidad importante. Tal es el caso reciente del gusano Stuxnet, cuya propagación se masificó explotando una vulnerabilidad 0-Day en sistemas operativos Windows, y del cual a continuación presentamos la cronología del ataque:

  • 17 de julio: Se publica la vulnerabilidad 0-day. Microsoft publica un boletín de seguridad alertando sobre la existencia de códigos maliciosos explotando una vulnerabilidad 0-Day existente en los archivos del tipo LNK. A partir de este momento, se conoce la propagación del código maliciosoconocido como Win32/Stuxnet.
  • 20 de julio: Win32/Stuxnet continua infectando sistemas. Tres días después se detectan grandes focos de infección, principalmente en Estados Unidos e Irán, y se conocen detalles de este peligroso código malicioso que, además de poseer capacidades de rootkit, se propaga a través de dispositivos USB. Hasta ese momento, aún no existía parche de seguridad para mitigar la vulnerabilidad en cuestión.
  • 21 de julio: Microsoft publica mitigación. Microsoft publica un pequeño programa destinado a mitigar temporalmente el impacto que hasta el momento causa la vulnerabilidad a través de la propagación de Stuxnet.
  • 23 de julio: Aparecen nuevas familias de malware explotando vulnerabilidad 0-Day “LNK”. Desde este mismo blog reportamos nuevas familias de malware que también aprovechaban la vulnerabilidad para infectar equipos. Se trata de Win32/TrojanDownloader.Chymine.A, un troyano que descarga otro malware desarrollado para robar información sensible de los equipos infectados; y Win32/Autorun.VB.RP cuyo canal de propagación son los dispositivos USB.
  • 23 de julio: Exploit pack con el exploit del 0-Day. Descubrimos que el exploit para la vulnerabilidad 0-Day fue agregado en un nuevo crimeware llamado Zombie Explotation Kit, de origen ruso y cuyo valor en el mercado clandestino es de 1000 dólares estadounidenses.
  • 27 de julio: Sality se suma a la vulnerabilidad LNK. Unos días después, se descubren nuevas variantes de códigos maliciosos que se suman a la explotación de la vulnerabilidad para infectar sistemas y robar información confidencial de los usuarios víctimas. En este caso, los códigos maliciosos son detectados como Win32/Sality.NBAK y una variante del troyano Zbot, diseñado para robar información financiera y convertir el equipo infectado en un zombi para la botnet ZeuS.
  • 30 de julio: Microsoft anuncia liberación de parche fuera de ciclo. Trece días después de publicada la vulnerabilidad, Microsoft anuncia que liberará, fuera de su ciclo habitual de publicación de parches (segundo martes de cada mes), la actualización de seguridad para corregir el fallo.
  • 2 de agosto: Microsoft publia parche de seguridad fuera de ciclo. Microsoft pone a disposición de los usuarios la actualización de seguridad MS10-046 que soluciona la vulnerabilidad mediante la cual se originó la propagación de varios códigos maliciosos dando fin al problema.

De esta forma, se concretaban así 16 días desde la publicación de la vulnerabilidad hasta la existencia de un parche definitivo por parte del fabricante, ventana de tiempo durante la cual varios los códigos maliciosos aprovecharon causando numerosos problemas a entornos informáticos y atentando contra la seguridad de la información.

Esta secuencia muestra la clásica evolución de un ataque 0-day, y cómo los atacantes aprovechan las vulnerabilidades sin parches para crear códgios maliciosos.

Jorge Mieres
Analista de Seguridad

Autor , ESET

Síguenos