Vulnerability Team

y despues de vacaciones...lo que nos encontramos fue......

El 15 de junio de 2010 se descubrió una vulnerabilidad 0-day (CVE-2010-2568) que afecta a todas las versiones de Windows (XP, Vista, 7, Server 2003 y Server 2008).

¿En qué consiste la vulnerabilidad en LNK?
La vulnerabilidad, catalogada en la lista CVE como  CVE-2010-2568, afecta a la familia de sistemas operativos de Microsoft, aparentemente, a partir de Windows XP. Esta consiste en explotar una debilidad que se encuentra en la forma en que Windows analiza los enlaces directos (archivos con extensión LNK) a través del Explorador de Windows.
En base a esto, un atacante podría ejecutar cualquier tipo de código malicioso a través de un ícono de acceso directo, en el momento en que se procede a la apertura de una carpeta, manipulado para tal fin.

¿Cómo funciona la explotación?
La versión original de esta vulnerabilidad (que como todo exploit nació como una PoC – Prueba de Concepto) consiste en la manipulación maliciosa de un archivo .lnk (correspondiente a los accesos directos) que enlaza a un archivo del tipo DLL.
De todas formas, debido a la manera en que Windows, a través de la shell, procesa las instrucciones del archivo LNK, el proceso de infección se activa aún sin la intervención del usuario; es decir, sin que el usuario ejecute manualmente el archivo.

¿Cómo está siendo explotada?
La vulnerabilidad está siendo explotada a través de códigos maliciosos. Hasta el momento se han descubierto dos tipos de malware (un troyano y un gusano con capacidades de rootkit) catalogados como Win32/Stuxnet.A y LNK/Atostart.A.
De todos modos, el código del exploits ya ha sido publicado por lo que no se descarta la posibilidad de que en corto plazo aparezcan nuevas variantes de estas amenazas o bien nuevas familias de malware específicamente diseñadas para propagarse a través de esta vulnerabilidad.

¿Qué vectores de propagación se están empleando?
Los códigos maliciosos están siendo propagados a través de la funcionalidad de Windows que permite la apertura y ejecución automática de dispositivos (AutoRun/AutoPlay), especialmente a través del puerto USB. Con lo cual, el vector de ataque de momento es a través de estos dispositivos haciendo uso del archivo Autorun.inf.
Sin embargo, el exploit puede ser empleado a través de cualquier tecnología de información, siendo altamente probable que en los próximos días comience a ser incluido en el crimeware del tipo Exploit Pack para su explotación masiva y a gran escala.

¿Qué zonas geográficas son las más afectadas?
Según nuestro Sistema de Alerta Temprana, ThreatSense.Net, Estados Unidos e Irán son los países donde Win32/Stuxnet.A poseen de momento la mayor tasa de éxito en cuanto al proceso de infección, seguidos por Rusia e Indonesia con un porcentaje de explotación mucho menor.

Aún así, debido a la facilidad con la que puede explotar la vulnerabilidad a través de malware, es probable que, si no se toman los recaudos de prevención necesarios, las tasas de infección se incrementen.


Ahora el código es público y ya esta incluida tambien en la conocida suite  MetaSploit. Aunque ya es posible mitigarlo mediante una Directiva de Seguridad Local, Microsoft no ha publicado aún ningún parche.

MICROSOFT SECURITY ADVISORY

 MAS DETALLES SOBRE LA VULNERABILIDAD

OTRAS REFERENCIAS SOBRE CVE-2010-2568

POSIBLES SOLUCIONES. 

fuente: securityfocus.com | blog.amarelloartis.com| microsoft.com | blogs.eset-la.com