RECOPILACION DE INFORMACION SOBRE EL MAS IMPORTANTE ZERO DAY ACTUAL (STUXNET)

Aparte de lo ya indicado en  https://blog.satinfo.es/?p=5006

hay que tener en cuenta las últimas novedades al respecto:

El nuevo RootKit STUXNET aprovecha un zeroday de windows:

 Microsoft anunció el viernes que se está explotando una vulnerabilidad con los archivos de acceso directo que afecta a muchos sistemas operativos Windows :

Software afectado 

Windows XP Service Pack 3
 
Windows XP Professional x 64 Edition Service Pack 2
 
Windows Server 2003 Service Pack 2
 
Windows Server 2003 x 64 Edition Service Pack 2
 
Windows Server 2003 con SP2 para sistemas basados en Itanium
 
Windows Vista Service Pack 1 y Windows Vista Service Pack 2
 
Windows Vista x 64 Edition Service Pack 1 y Windows Vista x 64 Edition Service Pack 2
 
Windows Server 2008 para sistemas de 32 bits y Windows Server 2008 para sistemas de 32 bits Service Pack 2
 
Windows Server 2008 para x 64 – basados en sistemas y Windows Server 2008 para x 64 – basado en sistemas Service Pack 2
 
Windows Server 2008 para sistemas basados en Itanium y Windows Server 2008 para sistemas basados en Itanium Service Pack 2
 
Windows 7 para sistemas de 32 bits
 
Windows 7 para x 64-based Systems
 
Windows Server 2008 R2 para x 64-based Systems
 
Windows Server 2008 R2 para sistemas basados en Itanium
 

Desde Computer World:

 En un aviso de seguridad , Microsoft confirmó lo que otros investigadores habían estado diciendo desde hace casi un mes: Los hackers han estado explotando un error en Windows “acceso directo” los archivos, los marcadores de posición suelen ir a parar en el escritorio o en el menú Inicio para representar los enlaces a los archivos reales o programas.

“En el presente, esta vulnerabilidad se ha encontrado que la aprovechan en conjunción con el malware Stuxnet,”  dijo Forstrom, un director de Microsoft Trustworthy Computing, en un post el viernes en un blog de la compañía.

_______

Informe del blog de Microsoft:

Blogs de TechNet > Centro de protección contra Malware de Microsoft > La intrusión de Stuxnet

La intrusión de Stuxnet

Durante la semana pasada, se ha hecho un estrecho seguimiento de una nueva familia de las amenazas que se llama Stuxnet (un nombre derivado de algunas de las cadenas de nombre de archivo/en el malware – mrxcls.sys, mrxnet.sys).  En los últimos días, se ha convertido en un popular tema de discusión entre los investigadores de seguridad y en los medios de comunicación. En primer lugar y ante todo, indiquemos que recientemente han lanzado una firma adicional para esta amenaza e instamos a nuestros lectores para estar seguro de que tengan las más recientes actualizaciones de definiciones en el anti-malware que tengan instalado.

Prevalencia y distribución

En términos de número de ataques, el más numeroso número de informes son procedentes de los Estados Unidos, Indonesia, India e Irán. 
Relacionando el número de MMPC (MICROSOFT MALWARE PROTECTION CENTER) con el de máquinas sobre las que están informando de ataques, los Estados Unidos cae al más bajo de la lista, dando paso a Irán e Indonesia con intentos de ataque mucho más altos que el promedio mundial.

http://www.microsoft.com/security/portal/blog-images/stuxnet-saturation-2010-07-16.png
Figura 1: Saturación geográfica de los intentos de infección de Stuxnet

Aunque el número de informes de infección en nuevas máquinas ha permanecido constante en torno a mil por día, el número de intentos (intentos por máquina) ha aumentado en los últimos días:

http://www.microsoft.com/security/portal/blog-images/stuxnet-20100715.png
Figura 2: Prevalencia de amenazas 

Intercambio de hacker

Además de estos intentos de ataque, alrededor del 13% de las detecciones que hemos presenciado parecen provenir del intercambio de correo electrónico o descargas de archivos de ejemplo de los sitios de hackers.  Algunas de estas detecciones han sido recogidas en paquetes que contienen supuestamente juegos tramposos (a juzgar por el nombre del archivo).

Detalles de la amenaza

Lo que es único acerca de Stuxnet es que utiliza un nuevo método de propagación. Específicamente, se aprovecha de archivos con extensiones abreviadas (también conocido como .lnk) colocado en unidades USB que ejecutan automáticamente el malware tan pronto como el archivo .lnk es leído por el sistema operativo. En otras palabras, simplemente navegando a la unidad de medios extraíbles utilizando una aplicación que muestra los iconos de acceso directo (como el explorador de Windows) ejecuta el malware sin ninguna interacción de usuario adicional.

Anticipamos que otros autores de malware aprovechando esta técnica, infectarán cualquier unidad usb conectada al sistema y por esta razón  hemos clasificado el malware como un gusano.  Esta clasificación para el malware no debe ser confundida con otro vector utilizado por este gusano, la vulnerabilidad recién divulgada (CVE-2010-2568)  se informa en el boletin correspondiente. Dicha vulnerabilidad en sí misma no es propia de gusanos.

Stuxnet utiliza la técnica de los mencionados .lnk para instalar componentes adicionales de malware.  Primero se inyecta una puerta trasera (Worm:Win32/Stuxnet.A) en el sistema comprometido y, a continuación, los dos controladores:

•Trojan:WinNT/Stuxnet.A – oculta la presencia de los archivos .lnk
•Trojan:WinNT/Stuxnet.B – inyecta blobs (archivos .tmp) de los datos cifrados en la memoria, cada uno de los cuales parecen servir a propósitos diferentes de la infraestructura del sistema de despliegue Stuxnet (controladores, archivos .lnk, propagación, etc.).

Estos controladores están firmados con un certificado digital que pertenecen a un fabricante de hardware conocido llamado Realtek Semiconductor Corp., que es inusual porque implicaría que los creadores de malware de alguna manera tienen acceso a la clave privada de Realtek. 

MMPC de Microsoft ha estado trabajando con VeriSign para revocar este certificado y lo hizo a las 08: 05: 42 PM UTC con el acuerdo y el apoyo de Realtek.

Prevención de amenazas

Hay varias firmas que detectan esta amenaza para los clientes que utilizan Microsoft Security Essentials, Microsoft Forefront Client Security, Windows Live OneCare, el Forefront Threat Management Gateway y la plataforma de seguridad de Windows Live. Además de utilizar tecnología de antimalware, MSRC ha lanzado un asesoramiento acerca de los detalles del trabajo.
________
Boletin (CVE-2010-2568)

Boletín de seguridad de Microsoft (2286198)
Una vulnerabilidad en el shell de Windows podría permitir la ejecución remota de código

Publicado: 16 de julio de 2010

Versión: 1.0

Información general

Resumen Ejecutivo

Microsoft está investigando informes de ataques limitados y selectivos de explotar una vulnerabilidad en el shell de Windows, un componente de Microsoft Windows. Este documento informativo contiene información acerca de qué versiones de Windows son vulnerables, así como soluciones provisionales y factores atenuantes para este problema.

La vulnerabilidad existe porque Windows analiza incorrectamente los ficheros con extensiones abreviadas (.lnk) de tal manera que código malintencionado podrá ser ejecutado cuando el usuario hace clic en el icono se muestra de un acceso directo especialmente diseñado. Esta vulnerabilidad es más probable ser explotados a través de unidades extraíbles. Para sistemas que tienen la función de reproducción automática desactivada, sería necesario examinar manualmente la carpeta raíz del disco extraíble para que la vulnerabilidad llegara a ser explotada. Para los sistemas de Windows 7, se desactiva automáticamente la funcionalidad de reproducción automática para discos extraíbles.

Estamos trabajando activamente con los asociados en nuestro Microsoft Active Protection Program (MAPP) para proporcionar información que se pueda utilizar para proporcionar proteccion más amplias a los clientes.

Al finalizar esta investigación, Microsoft tomará las medidas apropiadas para ayudar a proteger a nuestros clientes.
Software afectado 
Windows XP Service Pack 3
 
Windows XP Professional x 64 Edition Service Pack 2
 
Windows Server 2003 Service Pack 2
 
Windows Server 2003 x 64 Edition Service Pack 2
 
Windows Server 2003 con SP2 para sistemas basados en Itanium
 
Windows Vista Service Pack 1 y Windows Vista Service Pack 2
 
Windows Vista x 64 Edition Service Pack 1 y Windows Vista x 64 Edition Service Pack 2
 
Windows Server 2008 para sistemas de 32 bits y Windows Server 2008 para sistemas de 32 bits Service Pack 2
 
Windows Server 2008 para x 64 – basados en sistemas y Windows Server 2008 para x 64 – basado en sistemas Service Pack 2
 
Windows Server 2008 para sistemas basados en Itanium y Windows Server 2008 para sistemas basados en Itanium Service Pack 2
 
Windows 7 para sistemas de 32 bits
 
Windows 7 para x 64-based Systems
 
Windows Server 2008 R2 para x 64-based Systems
 
Windows Server 2008 R2 para sistemas basados en Itanium
 
¿Cuál es el alcance del informe?
 Microsoft tiene constancia de un nuevo informe de vulnerabilidad que afecta a la shell de Windows, un componente de Microsoft Windows. Esta vulnerabilidad afecta a los sistemas operativos que se enumeran en la sección Software afectado.

¿Es esto una vulnerabilidad de seguridad que requiere Microsoft emitir una actualización de seguridad? 
Al finalizar esta investigación, Microsoft tomará las medidas apropiadas para ayudar a proteger a nuestros clientes.

¿Qué es el shell de Windows? 
La interfaz de usuario (UI) de Windows proporciona a los usuarios con acceso a una amplia variedad de objetos necesarios para ejecutar aplicaciones y administrar el sistema operativo. Los más numerosos y familiares de estos objetos son las carpetas y los archivos que residen en unidades de disco del equipo. También hay un número de objetos virtuales que permiten al usuario realizar tareas tales como el envío de archivos a impresoras remotas o acceder a la Papelera de reciclaje. El shell organiza estos objetos en un espacio de nombres jerárquico y proporciona a los usuarios y las aplicaciones de una forma coherente y eficaz para acceder y administrar objetos.

¿Qué es un acceso directo? 
Un acceso directo es un vínculo a un archivo o programa, representado por un icono. Si hace doble clic en un acceso directo, se abre el archivo o programa. El acceso directo es un mecanismo utilizado a menudo para mantener con frecuencia utiliza archivos en una ubicación única y fácil acceso, como por ejemplo una carpeta o en el escritorio. Métodos abreviados se implementan como archivos con la extensión LNK.

¿Qué causa esta amenaza? 
Al intentar cargar el icono de un acceso directo, el shell de Windows no valida correctamente los parámetros específicos del acceso directo.

¿Qué podría hacer un atacante que utilizara esta vulnerabilidad?
Un atacante que aprovechara esta vulnerabilidad podría ejecutar código arbitrario que el usuario ha iniciado la sesión. Si un usuario inicia sesión con derechos de usuario administrativos, un atacante podría tomar el control completo del sistema afectado. Un atacante podría, a continuación, instalar programas; ver, cambiar, o eliminar datos; o crear cuentas nuevas con derechos de usuario completo. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían menos que los usuarios que cuenten con derechos de usuario administrativos.

¿Cómo un atacante podría aprovechar esta vulnerabilidad? 
Un atacante podría presentar una unidad extraíble al usuario con un archivo de acceso directo malintencionado y un binario malintencionado asociado. Cuando el usuario abre esta unidad en el explorador de Windows, o cualquier otra aplicación que analiza el icono del acceso directo, el binario malintencionado ejecutará código de elección del atacante en el sistema de la víctima.

Un atacante también podría configurar un recurso compartido de red remota y colocar los componentes dañinos en este recurso compartido. Cuando el usuario navega por el recurso compartido, Windows intentará cargar el icono del archivo de acceso directo, y puede invocarse el binario malintencionado.

¿Podría ser aprovechada remotamente esta vulnerabilidad? 
Esta vulnerabilidad es más probable ser explotados a través de unidades extraíbles. Sin embargo, los accesos directos afectados pueden ser distribuidos sobre recursos compartidos de red o recursos compartidos remotos de WebDAV.

¿El Service Pack 1 beta de Windows 7 y las versiones de Windows Server 2008 R2 Service Pack 1 beta afectadas por esta vulnerabilidad? 
Beta de Windows 7 Service Pack 1 y Windows Server 2008 R2 Service Pack 1 beta se ven afectados por esta vulnerabilidad. Los clientes que ejecutan estas versiones beta son aconsejados a aplicar las soluciones descritas en este documento informativo.

Estoy utilizando una versión anterior del software tratado en este aviso de seguridad. ¿Qué debo hacer? 
El software afectado enumerado en este documento informativo han sido probado para determinar qué versiones se ven afectados. Otros lanzamientos han pasado su ciclo de vida de soporte técnico. Para obtener más información sobre el ciclo de vida del producto, visite el sitio de Web de Ciclo de vida de soporte técnico de Microsoft.

Debe ser una prioridad para los clientes que tienen versiones anteriores del software para migrar al actual, segun comunicados para prevenir la posible exposición a vulnerabilidades. Para determinar el ciclo de vida de soporte para su versión de software, consulte “Seleccione un producto” para la información del ciclo de vida. Para obtener más información acerca de service packs para estas versiones de software, consulte Supported Service Packs de ciclo de vida.

Los clientes que requieran soporte técnico personalizado para software antiguo deben ponerse en contacto con su representante de equipo de cuentas de Microsoft, su administrador técnico de cuentas o el representante del socio de Microsoft apropiado para las opciones de soporte técnico personalizado. Los clientes sin una alianza, Premier o contrato autorizado pueden ponerse en contacto con su oficina local de venta de Microsoft. Para obtener información de contacto, visite el sitio Web de Información en el mundo de Microsoft, seleccione el país en la lista de información de contacto y, a continuación, haga clic en ir para ver una lista de números de teléfono. Cuando llame, pida hablar con el gerente de ventas local de asistencia técnica Premier. Para obtener más información, consulte las Preguntas frecuentes sobre política soporte del ciclo de vida de Microsoft.

 
 Factores atenuantes de la Mitigación se refiere a una configuración, configuración común o mejores prácticas generales, existente en un estado predeterminado, que podría reducir la gravedad de este problema. Los siguientes factores atenuantes pueden ser útiles para su situación:

•  Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían menos que los usuarios que cuenten con derechos de usuario administrativos.
 
•  Cuando se desactiva la función de reproducción automática, el usuario manualmente sería tener al iniciar Windows Explorer o una aplicación similar y vaya a la carpeta raíz del disco extraíble.
 
•  Bloquea las conexiones salientes de SMB en el servidor de seguridad perimetral, se reducirá el riesgo de explotación remota utilizando recursos compartidos de archivos.
 

 Soluciones provisionales 
Solución alternativa se refiere a un cambio de configuración o una configuración que no corrija el problema subyacente, pero ayudaría a bloquear tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las siguientes soluciones provisionales y los Estados en el debate de si una solución reduce la funcionalidad:

•  Desactivar la visualización de iconos para los accesos directos

Nota Uso incorrecto del editor del registro puede provocar problemas graves que pueden requerir reinstalar el sistema operativo. Microsoft no puede garantizar que se puedan solucionar los problemas derivados del uso incorrecto del editor del registro. Utilice el editor del registro bajo su propio riesgo. Para obtener información acerca de cómo modificar el registro, ver el tema de ayuda “Cambiar claves y valores” en el editor del registro (regedit.exe) o los temas “Agregar y eliminar información del registro” y “Modificar información del registro” en Regedt32.exe.

1.
 Haga clic en Inicio, haga clic en Ejecutar, escriba Regedit en el cuadro Abrir y, a continuación, haga clic en Aceptar
 
2.
 Busque y, a continuación, haga clic en la siguiente clave del registro:

HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
 
3.
 Haga clic en el menú archivo y seleccione exportar
 
4.
 En el cuadro de diálogo Exportar archivo del registro, escriba LNK_Icon_Backup.reg y haga clic en Guardar

Nota Esto creará una copia de seguridad de esta clave del registro en la carpeta Mis documentos por defecto
 
5.
 Seleccione el valor (predeterminado) en la ventana de la mano derecha en el editor de registro. Presione Intro para modificar el valor de la clave. Extraiga el valor, por lo que el valor está en blanco y pulse Intro.
 
6.
 Reinicie explorer.exe o reinicie el equipo.
 

Impacto de la solución. Desactivación de iconos desde que se muestra para los accesos directos, impide que la cuestión explotados en los sistemas afectados. Cuando se implementa esta solución provisional, archivos de acceso directo y los accesos directos de Internet Explorer ya no tendrán un icono que se muestra.
 
•  Deshabilitar el servicio WebClient

La desactivación del servicio de WebClient ayuda a proteger los sistemas afectados de intentos de aprovechar esta vulnerabilidad mediante el bloqueo del vector de ataque remoto más probable a través de la Web Distributed Authoring and Versioning (WebDAV) servicio al cliente. Después de aplicar esta solución, aún será posible para los atacantes remotos que aprovechara esta vulnerabilidad para causar Microsoft Office Outlook para ejecutar programas ubicados sobre el destino del equipo del usuario o de la red de área local (LAN), pero los usuarios se pedirá confirmación antes de la apertura de programas arbitrarios desde Internet.

Para deshabilitar el servicio WebClient, siga estos pasos:

1.
 Haga clic en Inicio, haga clic en Ejecutar, escriba Services.msc y, a continuación, haga clic en Aceptar.
 
2.
 Con el botón derecho servicio WebClient y seleccione Propiedades.
 
3.
 Cambiar el tipo de inicio a discapacitados. Si está ejecutando el servicio, haga clic en Detener.
 
4.
 Haga clic en Aceptar y salga de la aplicación de gestión.
 

Impacto de la solución. Cuando el servicio WebClient está desactivado, no se transmiten Web Distributed Authoring and Versioning (WebDAV) solicitudes. Además, todos los servicios que dependan explícitamente el servicio de cliente Web no se iniciarán y se registrará un mensaje de error en el registro del sistema. Por ejemplo, acciones de WebDAV será inaccesibles desde el equipo cliente.

Cómo deshacer la solución provisional.

Para volver a activar el servicio WebClient, siga estos pasos:

1.
 Haga clic en Inicio, haga clic en Ejecutar, escriba Services.msc y, a continuación, haga clic en Aceptar.
 
2.
 Con el botón derecho servicio WebClient y seleccione Propiedades.
 
3.
 Cambie el tipo de inicio a automático. Si no está ejecutando el servicio, haga clic en Inicio.
 
4.
 Haga clic en Aceptar y salga de la aplicación de gestión.
 
 
 Acciones adicionales sugeridas. 
Para obtener más información acerca de este problema, consulte 2286198 de artículo de Microsoft Knowledge Base.

•  Proteja su PC

Seguimos alentar a los clientes a seguir los consejos de proteger su equipo de: habilitar un servidor de seguridad, obtener actualizaciones de software e instalando un software antivirus. Los clientes pueden aprender más acerca de estos pasos visitando a Proteger su equipo.
 
•  Para obtener más información acerca de permanecer seguro en Internet, visite Microsoft seguridad central.
 
•  Mantener actualizado de Windows

Todos los usuarios de Windows deben aplicar las últimas actualizaciones de seguridad de Microsoft para ayudar a asegurarse de que sus equipos son protegidos como sea posibles. Si no está seguro de si su software está actualizado, visite Windows Update, analice su equipo las actualizaciones disponibles y, a continuación, instale todas las actualizaciones de alta prioridad que son ofrecidas a usted. Si tienes habilitado de actualizaciones automáticas, las actualizaciones se entregan a usted cuando son liberadas, pero usted tiene que asegurarse de que se hayan instalado.
 
 
Otra información de Microsoft Active Protection Program (MAPP)
Para mejorar las protecciones de seguridad para los clientes, Microsoft proporciona información sobre la vulnerabilidad a los proveedores de software de seguridad importantes antes de cada lanzamiento de actualización mensual de seguridad. Los proveedores de software de seguridad, a continuación, pueden utilizar esta información de vulnerabilidad para proporcionar protección actualizada a los clientes a través de su software de seguridad o dispositivos, tales como sistemas de detección de intrusiones, antivirus basada en la red, o sistemas de prevención de intrusos basado en host. Para determinar si las protecciones activas están disponibles desde los proveedores de software de seguridad, por favor visite las protecciones activas sitios Web proporcionados por los socios del programa, enumerados en los socios de Microsoft Active Protection Program (MAPP).
____________
Nota: Articulos traducidos mediante sistemas automaticos. Se recomienda a los tecnicos especializados leerlos en su version original.

Fuentes:
http://feedproxy.google.com/~r/Liquidmatrix/~3/dJ4eHs9SfCk/
http://blogs.technet.com/b/msrc/archive/2010/07/16/security-advisory-2286198-released.aspx
http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx
http://www.microsoft.com/technet/security/advisory/2286198.mspx

Terminemos esta Noticia con el aviso de que es el mas importante ZERO DAY  existente actualmente en Windows, y que ello nos hará replantear la actual protección para con los virus de pendrive y lo ya controlado con el ELIPEN sobre los AUTORUN.INF

Mientras tanto, mucho cuidado con ello !!!

saludos

ms, 18-7-2010