Se ha descubierto un nuevo ataque contra Windows, que aprovecha una vulnerabilidad previamente desconocida. Lo interesante (y peligroso) en este caso, es que esta vulnerabilidad ha sido utilizada como nuevo m?do «revolucionario» para eludir la desactivaci?e AutoRun y ejecutarse bajo cualquier circunstancia cuando se inserta en el sistema una memoria USB extra?e, por ejemplo. Adem? el troyano ha sido firmado digitalmente por una compa? leg?ma.
C?ha sido descubierto y demas informacion, pues en LEER MAS >>>
@Angeloso69 despues de leer un rato en Hispasec y acojonarse vivo.
VirusBlokAda descubri?a el 17 de junio (lo que da una idea de la posible cantidad de tiempo que esta amenaza lleva atacando silenciosamente) m?os de un malware nuevo. Pasadas unas semanas, alertaron sobre algo realmente inusual en este troyano: su forma de propagarse a trav?de memorias USB prescindiendo del tradicional archivo autorun.inf, que permite la ejecuci?utom?ca cuando se detecta un dispositivo extra?e y funcionalidad contra la que Microsoft lleva tiempo luchando.
El troyano usaba en cierta manera, una vulnerabilidad (para la que no existe parche) en archivos .LNK (accesos directos), que permite la ejecuci?e c?o aunque el AutoPlay y AutoRun se encuentren desactivados. A efectos pr?icos, implica que se ha descubierto una nueva forma totalmente nueva de ejecutar c?o en Windows cuando se inserta un dispositivo extra?e, independientemente de que se hayan tomado todas las medidas oportunas conocidas hasta el momento para impedirlo.
Para qu?staba siendo usado
Independientemente de su m?do de propagaci?el investigador Frank_Boldewin comenz? analizar una de las muestras y descubri?e el objetivo del malware estaba dirigido espec?camente contra sistemas SCADA WinCC de Siemens, que se ejecutan en Windows. Dentro de su c?o conten?la contrase?por defecto «2WSXcder» para la base de datos central del producto de Siemens, y al parecer el fabricante recomienda no modificarla. Por tanto el troyano consegu?acceso de administraci?e la base de datos. Los sistemas «Supervisory Control and Data Acquisition (SCADA)» son programas cr?cos de producci?ndustrial: toman datos muy sensibles de sensores de una f?ica, por ejemplo, y los env? a un sistema central para ser controlados. Se usan en grandes plantas de tratamiento de aguas, control el?rico, de tr?co… Por tanto, se trata de un malware destinado a un perfil muy diferente del usuario «medio». En otras palabras, malware para al espionaje industrial. Se est?sando sobre todo en Indonesia, India e Ir?
Un malware muy profesional
El troyano se esconde con habilidades de rootkit para pasar desapercibido en los sistemas en los que consigue instalarse. Llama la atenci?como se ha mencionado, el uso de una vulnerabilidad desconocida hasta ahora en los accesos directos, lo que da una nueva vuelta de tuerca a la pesadilla del AutoRun para Microsoft. Lejos de usar el tradicional autorun.inf (contra el que ya se puso remedio), se propaga en llaves USB en forma de archivos del tipo ~WTR4132.tmp, por ejemplo. Se parecen mucho a los ficheros temporales de Word que usa Office internamente cuando un fichero est?n uso.
Para colmo, el troyano utiliza para su funcionalidad de rootkit unos drivers firmados digitalmente por la famosa empresa china Realtek. Esto significa que, en principio, solo Realtek puede ser responsable de ese c?o… excepto que su clave privada haya sido comprometida de alguna forma, cosa que no se ha confirmado todav? En cualquier caso, Microsoft, muy acertadamente, ha trabajado con Verisign para revocar en sus sistemas los certificados (con el apoyo de Realtek tambi?. Esto quiere decir que los sistemas bien configurados (que no puedan instalar drivers no firmados o firmados con certificados revocados) no sufrir?este problema… eso s? tendr?que actualizar su lista de certificados a trav?de windowsupdate.com.
El uso de certificados leg?mos es de lo m? interesante para un malware, y lo hace una pieza casi ?a. Otros troyanos han sido firmados antes, pero no nos consta que se haya realizado la firma con un certificado v?do de una empresa reconocida.
Y ahora qu?p>
Pues este malware pone de nuevo sobre la mesa las posibilidades de la creaci?e troyanos espec?cos, de amenazas personalizadas y «trabajadas» convenientemente para pasar desapercibidas. O sea: usando vulnerabilidades no conocidas, criptograf? rootkits….
Tarde o temprano los detalles t?icos sobre la vulnerabilidad en accesos directos saldr?a la luz, y todo tipo de malware comenzar? usar este nuevo m?do para propagarse por llaves USB. Recordemos el ?to de Conficker en octubre de 2009, que tambi?encontr?a forma de eludir la desactivaci?e AutoRun en Windows (gracias a una modificaci?n autorun.inf que no se tuvo en cuenta) y que oblig?Microsoft ha modificar toda su filosof?en este sentido y desactivar (se cre?que de forma eficaz hasta ahora) por completo el dichoso AutoRun.
Microsoft ha publicado un alerta reconociendo la vulnerabilidad y recomendando estas contramedidas:
* Poner en blanco el valor predeterminado (default) de la rama del registro:
HKEY_CLASSES_ROOTlnkfileshellexIconHandler
* Detener y deshabilitar el servicio «cliente web» (WebClient).
Adem? lo de siempre: no usar la cuenta de administrador, mantenerse informado, no usar memorias USB no confiables y mantener actualizado el sistema y el antivirus.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4283/comentar
M?Informaci?/span>
The Stuxnet Sting
http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx
Rootkit.TmpHider
http://www.wilderssecurity.com/showpost.php?p=1712134&postcount=22
Sergio de los Santos
ssantos@hispasec.com
Fuente: http://www.hispasec.com/unaaldia/4283