Estoy asombrado de la información que muestran los chicos de HISPASEC en su lista de correo una-al-dia. Os pego literalmente el mensaje y espero vuestras comunicaciones.
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
——————————————————————-
Hispasec – una-al-día 18/07/2010
Todos los días una noticia de seguridad http://www.hispasec.com
——————————————————————-
Se hace público el exploit de la última (y grave) vulnerabilidad en Windows
—————————————————————————
El pasado 16 de julio publicábamos una noticia sobre una «interesante»
vulnerabilidad en Windows que estaba siendo aprovechada por un peligroso
troyano. El peor de los escenarios se presenta ahora para Microsoft,
puesto que se han hecho públicos todos los detalles para aprovechar el
fallo y, por tanto, se espera que aparezcan nuevos troyanos aprovechando
una peligrosa vulnerabilidad para la que todavía no hay parche.
Informábamos hace algunos días de una forma totalmente nueva de ejecutar
código en Windows cuando se inserta un dispositivo extraíble,
independientemente de que se hayan tomado todas las medidas oportunas
conocidas hasta el momento para impedirlo. El fallo se aprovecha a
través de archivos LNK (accesos directos) y supone un duro varapalo para
Microsoft, pues los atacantes han conseguido descubrir la manera de
eludir todas las medidas que se han tomado contra la ejecución
automática en Windows.
Escribíamos entonces que «Tarde o temprano los detalles técnicos sobre
la vulnerabilidad en accesos directos saldrán a la luz, y todo tipo de
malware comenzará a usar este nuevo método para propagarse por llaves
USB». Ha sido más temprano que tarde, puesto que ya se han hecho
públicos todos los detalles y la posibilidad de aprovechar el fallo está
al alcance de cualquiera. La situación es, por tanto, muy grave.
Se espera pues un incremento de malware que se propague por dispositivos
extraíbles puesto que en estos momentos (y hasta que Microsoft saque un
parche), todos los Windows, independientemente de que esté actualizados
y bien configurados, podrían llegar a ejecutar un fichero de forma
«silenciosa» si se inserta un dispositivo extraíble como una llave USB.
Por ahora, la única forma de que la vulnerabilidad no funcione es
realizando el siguiente cambio (aunque se perderá funcionalidad, por lo
que es conveniente realizar una copia de seguridad para restaurar el
valor cuando el problema esté solucionado):
* Poner en blanco el valor predeterminado (default) de la rama del
registro:
HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
* Detener y deshabilitar el servicio «cliente web» (WebClient).
No está de más recordar que no se deben usar dispositivos extraíbles de
dudosa procedencia. Aun así, se deben tomar las precauciones oportunas
incluso contra los dispositivos en los que se confíe.
Lo más probable es que Microsoft publique el parche en cuanto esté
disponible, independientemente de su ciclo de actualizaciones. Ahora que
el problema es público y puede ser aprovechado por cualquiera, suponemos
que muy posiblemente se adelante con respecto a la siguiente tanda de
parches (programada para el 10 de agosto) o se retrase levemente con
respecto a ésta. Esperamos en cualquier caso que no haya que esperar
hasta septiembre para obtener una solución oficial.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4285/comentar
Más información:
CVE-2010-2568 Lnk shorcut
http://www.ivanlef0u.tuxfamily.org/?p=411
Sergio de los Santos
ssantos@hispasec.com
Como podéis ver a la vista de este mensaje, enviado por gente seria y conocedora del tema, no queda más remedio que asustarse. A la porra, todas las medidas que se han tomado tanto por parte de Microsoft, como de los profesionales que han desplegado modificaciones según las recomendaciones. Lo malo es que hasta que haya una contramedida oficial del fabricante, estamos al descubierto, no tanto el profesional que no tiene problema en tunear el registro, sino cualquier usuario normal que no se haya enterado de la cuestión.
Resulta triste que Microsoft invierta tanto esfuerzo en marketing+venta=beneficios, en lugar de invertir más tiempo en revisar y buscar esos problemas de seguridad…. Menos producto tan rápido y más producto seguro….
Al final va a resultar muy recomendable la posibilidad de pasarse al «enemigo», mac o linux…
¡¡Ojipláticos y malignos saludos!!
Read Full Post »