Vulnerability Team

Hackers acaban de liberar un código que aprovecha uno de los bugs no solucionados en Windows 7 y Windows Vista que explota el popular gusano Stuxnet. Dicho gusano es una de las amenazas más complejas desarrolladas para el espionaje industrial y sabotaje. De manera general, está considerado como el malware más sofisticado creado hasta la fecha.

Dicho gusano fue descubierto en julio por la compañía Bielorrusa VirusBlokAda y llamó la atención de la industria de seguridad ya que explotaba una vulnerabilidad que se extendía a través de unidades de almacenamiento USB y que afectaba a Windows debido a la manera de gestionar los accesos directos, archivos .lnk (Vulnerabilidad crítica CVE-2010-2568). Dicha vulnerabilidad fue parcheada por Microsoft en agosto. Sin embargo, se ha encontrado una nueva vía de expansión del malware a través de redes locales, explotando una vulnerabilidad zero-day de Windows (CVE-2010-2729) que atañe al servicio Print Spooler.
El gusano aprovecha este problema para acceder a los ordenadores de la red local que disponen de impresoras compartidas o bien utilizan impresoras de red. Sin embargo, para poder ejecutar código con permiso de administrador, la amenaza explota dos bugs de escalado de provilegios, uno para XP y otro para Vista / 7.

La vulnerabilidad XP Elevation of Privilege (EoP) fue solucionada en el parche del segundo martes de octubre, sin embargo Microsoft no ha solucionado el problema para Vista y Windows 7, que sigue accesible y que un hacker conocido como “webDEViL” ha querido demostrar con un código -prueba de concepto- para explotarlo.
El problema no está siendo explotado de manera masiva debido a que el atacante necesita obtener acceso a una cuenta limitada en el sistema y por tanto Microsoft probablemente lo solucione en laactualización del próximo mes.

fuente: muyseguridad.net

BitDefender ha lanzado una herramienta gratuita que permite a los usuarios infectados con Win32.Worm.Stuxnet eliminar esta amenaza.

Stuxnet es un gusano que ha saltado a la fama por infectar miles de ordenadores en Irán. Se trata de un ejemplar muy “especial" puesto que no parece diseñado para robar datos o dinero, sino simplemente para infectar ordenadores dirigidos, fundamentalmente, por un programa de Siemens. El objetivo final parece ser el de detener la maquinaria que maneja centrales y oleoductos.

Este ejemplar no tiene muchos precedentes y su alta sofisticación habla de un trabajo artesanal y elaborado, de meses de duración y de trabajo en equipo. Todo lo contrario al malware actual, elaborado mediante programas automatizados que sirven para generar troyanos, gusanos, etc.

La herramienta lanzada por BitDefender es capaz de eliminar todas las variantes conocidas de este ejemplar de malware así como los rootkits que están siendo utilizados para ocultar este gusano.

Win32.Worm.Stuxnet infecta por igual a todos los sistemas basados en Windows, si bien, ataca prioritariamente los sistemas SCADA (supervisory control and data acquisition) que tengan funcionando el software WinCC de Siemens.

El gusano se propaga aprovechando un gran número de vulnerabilidades de las versiones actuales de Windows. Además, puede ejecutarse a sí mismo desde un dispositivo extraíble tan pronto como el archivo .Ink haya sido leído por el sistema operativo.

Un aprovechamiento exitoso de esta vulnerabilidad supone la apertura de una puerta trasera en el equipo, así como la instalación de dos rootkits que ocultan tanto los archivos. lnk y como los .tmp que conforman el gusano.

fuente: BitDefender