El pasado viernes 16 de Julio Microsoft publicó un aviso de seguridad advirtiendo sobre una vulnerabilidad en sus sistemas operativos al procesar archivos del tipo "Acceso Directo" (Shortcut), este fallo de seguridad permite la ejecución de código arbitrario en los equipos afectados. El problema se debe a la forma en que el "Shell" de Windows procesa los archivos del tipo "LNK" intentando obtener el ícono correspondiente al acceso directo sin validar correctamente algunos parámetros. Basta con desplegar dentro del "Explorador de Windows" una carpeta con un "Acceso Directo" especialmente manipulado para permitir la ejecución de código malicioso con los permisos del usuario en cuestión

Aunque el principal vector de ataque es mediante el uso de dispositivos de almacenamiento extraíble (USB drives), también es posible utilizar carpetas compartidas, unidades mapeadas, CD-ROMs, y cualquier método que permita la visualización de éstos íconos.

En estos momentos solo hay reportes de ataques dirigidos que están aprovechando esta vulnerabilidad mediante un troyano nombrado "Stuxnet", mismo que ha sido diseñado para interferir con el software de Siemens tipo SCADA Simatic WinCC. Sin embargo el domingo pasado se hizo público el código necesario para aprovechar esta vulnerabilidad, con lo que se espera que los vectores de ataque se incrementen infectando sistemas a grán escala. Al respecto el "Internet Storm Center" de SANS ha cambiado el estado de alerta a "Amarillo", nivel que no se había alcanzado desde hace ya varios años.

Microsoft afirma estar trabajando para desarrollar una actualización de seguridad que mitigue esta vulnerabilidad, sin embargo en estos momentos no existe ningún parche. Como una solución temporal Microsoft recomienda realizar las siguientes acciones:

• Deshabilitar la visualización de íconos para los "Accesos Directos".
• Deshabilitar el servicio "WebClient".
• Bloquear las conexiones salientes en el protocolo de SMB a nivel del Firewall Perimetral.

Para información detallada de como realizar estos cambios lea el Documento informativo sobre seguridad de Microsoft (2286198).

Es importante recalcar que el hecho de deshabilitar la opción de "Autorun" de los medios extraibles no mitiga el problema, también debe de notarse que el ciclo de vida de soporte para los sistemas operativos "Windows XP Service Pack 2" y "Windows 2000" llegó a su fin, es decir ya no es soportado por Microsoft, por lo que no habrá parches que corrijan esta vulnerabilidad.

Actualización 1 (23 de Julio 2010):

Ya está disponible en el sitio de Microsoft, una herramienta automatizada para aplicar las medidad temporales en contra de esta vulnerabilidad.

Actualización 2 (30 de Julio 2010):

El día de hoy Microsoft anunció que planea liberar una actualización fuera de su ciclo habitual. El próximo Lunes 2 de Agosto del 2010 estará disponible el parche que corrige el fallo de seguridad en los archivos LNK.

Este es el aviso: http://www.microsoft.com/technet/security/bulletin/ms10-aug.mspx

Mas información:

Documento informativo sobre seguridad de Microsoft (2286198)
http://www.microsoft.com/latam/technet/seguridad/alerta/2286198.mspx

Herramienta Fix-it de Microsoft
http://support.microsoft.com/kb/2286198

US-CERT
http://www.kb.cert.org/vuls/id/940193

ISC SANS
http://isc.sans.edu/diary.html?storyid=9190

FortiGuard Advisory
http://www.fortiguard.com/advisory/FGA-2010-35.html

Adrián Martínez
Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla
VITESSE Networks

< Anterior		Siguiente >