(Por El Microsaurio) La situación ha variado poco. Las empresas de seguridad informática actualizaron sus bases de datos para detección, se han encontrado al menos cuatro variantes que aplican la falla de diseño de los archivos LNK para robar datos o cargar malware en la PC afectada, ya está a la venta un Kit de Ataque LNK/Stuxnet en el mercado clandestino, una parva de comunicadores en variados idiomas se enteraron de que ese problema (que los LNK son mono con navaja) se conoce desde hace un montón de años, ¿qué se sabe de Microsoft y Siemens, a esta altura? en fin, business as usual…
Hoy les comento la posición de dos empresas muy relacionadas con el asunto: Microsoft (la madre del borrego) y Siemens, cuyo software (parece) ha vehiculizado algún ataque que no es para las PC hogareñas, precisamente.
Además detallo lo del kit de malware y les dejo algunos links para que se entretengan.
Uno. Desde Microsoft primero se emitió un informe detallando el tema, e indicando que la mayor cantidad de máquinas afectadas estaba en Irán, Indonesia, India, Ecuador y en quinto lugar (decreciente) las afectadas en USA (??) Ojo que otros especialistas de empresas de seguridad mencionan primero a USA y dos o tres lugares abajo, a Irán. Más tarde se publicó la Security Avisory 2286198, donde se notifica a los usuarios que pueden pasar a ver la Nota de Base de Conocimientos (KB) 2286198. Ojito con estas frases de la Security Advisory: “…(respecto al procedimiento expuesto)…recomendamos a los administradores probarlo antes de aplicarlo ampliamente…”; “…encarecemos a nuestros clientes que revisen esta nueva información y la evalúen con respecto a su entorno de trabajo, mientras nuestros equipos continúan trabajando en una actualización de seguridad que solucione esta vulnerabilidad…” En efecto, lo que ofrece la KB2286198 es un “Fix It” que deshabilita los archivos LNK y PIF de Windows de un mazazo.
Si no querés hacerlo así, también te ofrecen las instrucciones para deshabilitarlos a mano en el Registry. No sé qué es peor.
Dos. En un foro del área de Automatización Industrial de la web de Siemens encontré un link a este documento que define el problema, apunta a un archivo de detección y borrado del malware producido por Trend Micro, comentan que dentro de su producto hay una password establecido por ellos que no se debe modificar pues podrían tener problemas de funcionamiento, recomiendan que los usuarios se comuniquen con el servicio de soporte, y aclaran que desde Alemania detectaron dos casos solamente, en entornos de desarrollo, ninguno dentro de un entorno de producción
Tres. En el blog del laboratorio de ESET acá en BAires informan que detectaron la puesta en venta de un exploit pack, llamado Zombie Infection Kit, a mil dólares, que ofrece la explotación de la mencionada falla de Windows. Para los que no se enteraron, hace años que operan delincuentes dedicados a preparar y vender vía Internet programas o sistemas complejos, por medio de los cuales un usuario no entrenado puede obtener un malware “a medida”, para difundirlo; también alquilan computadoras ya infectadas (botnets), a tanto la máquina por equis tiempo. Una explicación muy precisa y más detallada de lo que es un Exploit Pack está aquí.
Cuatro. La oficina local de Trend Micro nos participó información fresca desde USA: que hay variantes que ya pueden arrancar desde cualquier unidad externa (no sólo USB) por lo cual recomiendan deshabilitar el Autoplay de toda unidad externa; que están llegando mensajes de mail que fingen ser de un Soporte de Microsoft, con un adjunto que (claro) contiene un parche milagroso y oficial, pero que por supuesto es malware; y que la empresa clasifica el ataque de esta manera:
—> La vulnerabilidad de Autorun es aprovechada por malware que viene en unidades extraíbles y debe contener dentro de su código un puntero a un archivo con extensión EXE, BAT, SCR o CMD
—> La vulnerabilidad de LNK puede ser aprovechada por malware que se inserte en cualquier unidad, sean discos o memorias extraíbles, unidades compartidas, unidades ópticas; y que el archivo al que apunta el malware puede ser cualquiera que emplee la extensión DLL
Para que no me lo pregunten más:
- Los Sistemas Operativos afectados por esta vulnerabilidad son absolutamente todos los que Microsoft tiene en venta en este momento (y yo sospecho que los anteriores que pueden abrir un USB, también, tutti quanti)
- El ataque se produce al examinar el contenido de un disco infectado; si en esa unidad hay un archivo de Acceso Directo que contiene malware, cuando el Explorador de Windows lo “ve” se inicia la ejecución de ese archivo maligno.
- Un escenario que me preocupa. Vos vas con tu cámara digital a un Servicio de Revelado. Copiás las fotos desde la tarjeta de la cámara al equipo de ese Servicio. Volvés a tu casa. La próxima vez que vos conectes la cámara a tu PC para mirar fotos, espero que no haya ningún Acceso Directo esperándote.
Como postre, la Bibliografía para Curiosos:
- Análisis de los componentes de Stuxnet y su funcionamiento. Symantec
- El vínculo entre Siemens, SCADA y este malware. Kaspersky
- Un monono pedeefe del marketing de Siemens para el producto Simatic-WinCC
Que se entretengan, y esperemos el próximo Boletín Microsoft con el parche.
Volvé Bill, pero ¡no te perdonamos!
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291