Vulnerabilidad 0-day siendo utilizada para propagar malware
pocas horas se comenzó a detectar el inicio de un nuevo ejemplo de malware que aprovecha lo que parecería ser una vulnerabilidad 0-day hasta ahora desconocida públicamente. Ésta se reprodujo rápidamente en países como Estados Unidos e Irán, según información de ThreatSense.Net.
Para aquellos que no lo saben, una vulnerabilidad 0-day es aquella que es descubierta y está siendo explotada antes que una solución para la misma exista a través de algún parche o actualización, y por lo tanto puede ser aprovechada para penetrar sistemas y/o propagar malware.
En este caso nos encontramos con un posible agujero de seguridad en la interface del Explorador de Windows, por el cual si un usuario abre una carpeta cualquiera donde se encuentre almacenado un archivo especialmente diseñado para explotar la vulnerabilidad, éste se ejecutará automáticamente sin necesidad que el usuario haga doble clic sobre el mismo. Más información se puede encontrar en el advisory publicado por Microsoft, el cuál hasta ahora no contiene ningún parche e informa que la empresa está investigando.
Específicamente, la vulnerabilidad se encontraría en la forma en que el Windows Shell maneja los archivos LNK (accesos directos), y está siendo activamente explotada por malware que los productos de ESET ya están detectando como LNK/Autostart.A, y está relacionado con otro malware anterior llamado Win32/Stuxnet.A.
Algunas partes del código del malware podrían hacer pensar que el mismo tiene como objetivo atacar específicamente ciertos sistemas (SCADA), dado que inyectan código en procesos que solamente existen en los mismos. El malware se encuentra firmado digitalmente lo cuál podría, erróneamente, hacer pensar que se trata de software válido.
El malware en cuestión incorpora algunas funcionalidades de rootkits y se reproduce actualmente a través de dispositivos USB, aunque no se descarta que pueda usarse de otras formas dada la facilidad de explotación y la falta de una actualización, así como que tampoco puede descartarse que la vulnerabilidad no empiece a ser explotada por otros códigos maliciosos y amenazas informáticas.
La vulnerabilidad, y por ende los equipos que el malware puede aprovechar para ejecutarse sin interacción del usuario, afecta a Windows XP, Vista, 7, 2003 y 2008. No se descarta afecte a versiones anteriores pero como las mismas están fuera de su ciclo de vida, Microsoft no ha informado al respecto.
La recomendación para los usuarios de Internet es que mantengan al día su antivirus (ESET ya detecta esta amenaza genéricamente), y actualicen su sistema operativo a las últimas versiones ni bien el parche de seguridad sea liberado por Microsoft.
Fuente: ESET Latinoamérica
Para aquellos que no lo saben, una vulnerabilidad 0-day es aquella que es descubierta y está siendo explotada antes que una solución para la misma exista a través de algún parche o actualización, y por lo tanto puede ser aprovechada para penetrar sistemas y/o propagar malware.
En este caso nos encontramos con un posible agujero de seguridad en la interface del Explorador de Windows, por el cual si un usuario abre una carpeta cualquiera donde se encuentre almacenado un archivo especialmente diseñado para explotar la vulnerabilidad, éste se ejecutará automáticamente sin necesidad que el usuario haga doble clic sobre el mismo. Más información se puede encontrar en el advisory publicado por Microsoft, el cuál hasta ahora no contiene ningún parche e informa que la empresa está investigando.
Específicamente, la vulnerabilidad se encontraría en la forma en que el Windows Shell maneja los archivos LNK (accesos directos), y está siendo activamente explotada por malware que los productos de ESET ya están detectando como LNK/Autostart.A, y está relacionado con otro malware anterior llamado Win32/Stuxnet.A.
Algunas partes del código del malware podrían hacer pensar que el mismo tiene como objetivo atacar específicamente ciertos sistemas (SCADA), dado que inyectan código en procesos que solamente existen en los mismos. El malware se encuentra firmado digitalmente lo cuál podría, erróneamente, hacer pensar que se trata de software válido.
El malware en cuestión incorpora algunas funcionalidades de rootkits y se reproduce actualmente a través de dispositivos USB, aunque no se descarta que pueda usarse de otras formas dada la facilidad de explotación y la falta de una actualización, así como que tampoco puede descartarse que la vulnerabilidad no empiece a ser explotada por otros códigos maliciosos y amenazas informáticas.
La vulnerabilidad, y por ende los equipos que el malware puede aprovechar para ejecutarse sin interacción del usuario, afecta a Windows XP, Vista, 7, 2003 y 2008. No se descarta afecte a versiones anteriores pero como las mismas están fuera de su ciclo de vida, Microsoft no ha informado al respecto.
La recomendación para los usuarios de Internet es que mantengan al día su antivirus (ESET ya detecta esta amenaza genéricamente), y actualicen su sistema operativo a las últimas versiones ni bien el parche de seguridad sea liberado por Microsoft.
Fuente: ESET Latinoamérica
Algo importante de esto es que aun cuando se tenga desactivado el arranque automatico en el S.O en windows , el troyano se ejecutará igualmente como un autorun.
ResponderBorrarAdemas esta hecho muy profesionalmente , dirigido especialmente al espionaje industrial.
Lo otro que se debe pensar es que si se reprodujo tan rapidamente en estos dos paises EEEUU o iran, es posible que uno de estos sea el objetivo del troyano.
No descarto que sea un troyano que se les fue de las manos a los agentes de la CIA. Iran no lo veo como exportador de troyanos. De alli mi hipotesis.
Esto es muy parecido con la intrusion a goole por parte de hackers Chinos.
Realtek la empresa taiwanesa responsable de la firma digital, no ha querido dar explicaciones al respecto. Pudiera pensarse que ellos colaboraron o al menos que su clave privada haya sido comprometida.
Esto nos hace pensar que estamos viendo troyanos realizados no solamente por hackers comunes, empleados de una empresa, sino mandados hacer por grandes organizaciones o gobiernos. Su gran objetivo es un pais o una industria en particular.
Leonardo U.