DuQu y Word, un solo corazón

(Por Rubén Borlenghi, el Microsaurio) El jueves pasado Microsoft admitió que había información sobre una variante de DuQu, en la que se aprovechaba una falla de programación en sus sistemas operativos (no, ellos no escribieron “falla”, lo llaman “vulnerabilidad”). Identificaron el componente atacado (las fuentes True Type en Windows), publicaron un “FixIt” y… ahí estamos. Esperando, cruzando los dedos, y buscando más datos. Arrimate que te cuento

Si revisás lo que escribí al pie de esta nota el viernes pasado a la madrugada, desde Redmond se emitió la Nota de Seguridad 2639658, cuyo texto está acá.

En ella se informa que:

  • Se descubrió una falla en un driver de modo Kernel, el Win32k.sys, y relacionado con la parte de código que extrae y muestra las fuentes True Type (TrueType font parsing engine), a partir del contenido de un archivo de Word, por ejemplo.
  • Un atacante que aproveche esta vulnerabilidad puede ejecutar código a voluntad en la máquina.
  • El ataque informado estaba relacionado con el malware Duqu
  • Cuando se complete la investigación se proveerá la actualización. “Esto podría realizarse a través de nuestra actualización mensual o una actualización fuera de ciclo…” aclaran.
  • Se proveen dos sistemas de “workaround”, vocablo equivalente a “solución provisional”, que correspondería a “zafar por ahora”. Uno es automático, mediante un “Fix It” que figura aquí y otro es manual, a través de línea de comandos, pero según parece, este método no funciona en máquinas cuyo sistema operativo no esté en inglés.

Epa, muchachos, ¡los demás, incluso el Sur, también existen!

Qué más pude averiguar:
El hallazgo fue comunicado desde Hungría; en una máquina infectada por DuQu apareció de un archivo de Word usado para realizar el ataque. Quienes lo descubrieron trabajan en el laboratorio de criptografía y seguridad de sistemas de la Universidad de Budapest.
Un empleado de una compañía hizo clic para abrir y leer el archivo llegado por email, y así posibilitó que se usara un defecto de programación para ejecutar la biblioteca dinámica T2EMBED.DLL de Windows, y así instalar el ejecutable dañino en la máquina, e iniciar el proceso de ataque a las redes de la empresa donde estaba la PC parasitada.
Esa dll, T2EMBED, es la que es “tocada” por el workaround que mencioné arriba. Tanto manual como automáticamente (el Fix It) lo que se hace es quitarle permisos de ejecución, de tal manera que no arranca aunque la llamen. Un pequeño detalle: luego de aplicar la modificación, los documentos que empleen fuentes True Type fallarán al intentar mostrar los caracteres. Ojo con esto…
Desde el Microsoft Security Response Center, el gerente de grupo Jerry Bryant agregó (también te lo adelanté el viernes) que están trabajando en un parche completo, a publicarse dentro del programa de actualizaciones mensuales, pero que no llegaría hoy martes. También escribió que las compañías de antivirus que participan del Microsoft Active Protections Program (MAPP) seguramente ya tendrían publicadas las actualizaciones de detección correspondientes en los próximos días. Espero que eso signifique durante el fin de semana…
En el listado que está en esta página de Microsoft figuran 82 empresas u organismos, entre quienes que están casi todos los proveedores de antivirus que tienen representantes en Argentina (todos los grandes, anche los dos mayores grattarola); más varias empresas que proveen hardware+software de prevención de intrusiones o control de sp*m; más los mayores proveedores de equipos de red; más algunas instituciones académicas… de China, mirá vos.

En resumen

  • un nuevo ataque que emplea como vehículo a Word, aprovechando una falla de Windows
  • hay manera de atarlo con alambre por ahora,
  • hay protección “externa” (un antivirus)
  • hay un problemita: en la parte baja de la página web de la Nota de Seguridad 2639658 dice “… o convenciendo a un usuario de que visite una página web donde haya fuentes True Type…”. Así que Word es sólo uno de los vehículos posibles. El otro es… cualquier sitio web convenientemente preparado.

Espero que no se te haya atragantado el café, querido administrador de sistemas amigo. Yo seguiré revisando el tema, y si hay novedades, te chiflo.

Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Ver todas las entradas de Ricardog →

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

 

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.