Carlos A. Castillo L.

Fuente: Microsoft

El 16 de junio la compañía de seguridad informática VirusBlokAda descubrió un ejemplar de código malicioso bastante particular debido a las siguientes características:

• Se aprovecha de una vulnerabilidad en Windows de la que hasta ese momento no se tenía conocimiento: La falla reside en la posibilidad de ejecución de código con el solo hecho de ver iconos de “acceso directo” por lo que el usuario, con solo abrir una carpeta que contenga accesos directos (una compartida en la red, una memoria USB o hasta una página web), puede ejecutar sin darse cuenta el código malicioso.

• Malware firmado digitalmente: Existen dos variantes del malware que usan certificados digitales de empresas legítimas (Realtek Semiconductor y JMicron Technology). Lo anterior podría hacer pensar al usuario, erróneamente, que el malware es software válido perteneciente a alguna de las dos empresas mencionadas.

• Afecta casi todas las versiones de Windows: Según el descripción publicada por CVE, la vulnerabilidad afecta Windows XP SP3, Server 2003 SP2, Vista SP1 y SP2, Server 2008 SP2 y R2, y Windows 7. Desde luego en la lista no se encuentra Windows XP SP2 debido a que el soporte fue descontinuado por Microsoft.

• Orientado a sistemas SCADA: La primera muestra de malware estaba orientado a atacar sistemas de propósito específico del fabricante Siemens los cuales son usados para controlar y administrar procesos industriales críticos como por ejemplo la infraestructura de energía eléctrica.

Hasta este punto, la amenaza parecía ser muy puntual que no afectada masivamente a las personas aunque quedaba descubierta la vulnerabilidad esperando por una solución. Sin embargo, el 18 de julio la vulnerabilidad fue publicada en Internet. Lo anterior provocó que el SANS cambiara su indicador de amenaza de verde a amarillo debido a que aún no se contaba con la solución y, por el contrario, la forma de explotar la vulnerabilidad había sido publicada. Incluso, el famoso software Metasploit implementó un módulo con el exploit lo cual incrementaba las posibilidades de un despliegue de ataques aprovechando dicha vulnerabilidad.

Como consecuencia de lo anterior, conocidas familias de malware han aparecido empleando como vector de ataque la vulnerabilidad utilizada inicialmente por Stuxnet. Ejemplos de esto son el Zombie Infection Pack, el virus polimórfico Sality y hasta el famoso troyano bancario Zeus.

Es de esta forma que un código malicioso diseñado con un objetivo y un alcance limitado se convierte en una amenaza de talla mundial del estilo Conficker. Es en este punto en donde se da la respuesta al titulo de este post: Si no quiere ser infectado por todas las variantes de malware que existen y muy seguramente aparecerán en un  futuro, que se aprovechan de esta vulnerabilidad de Windows, instale el parche, fuera de ciclo, que Microsoft que publicó el día de hoy: MS10-046.

PD: En caso de haber seguido el procedimiento propuesto por Microsoft en donde se deshabilitan los iconos en Windows, en éste enlace se encuentra la herramienta para reversar la modificación realizada.

PD2: Un ejemplo del uso del módulo de Metasploit

Windows LNK vulnerability (CVE-2010-2568) in action from hardez on Vimeo.

Luego de varios días de ausencia, debido en gran parte a que cambié de trabajo y estuve bastante ocupado entregando mis funciones en un lado y recibiendo el nuevo cargo en mi nueva posición laboral, vuelvo a escribir para ustedes motivado porque el fin de semana pasado capturé un interesante, pero preocupante, mensaje de error en una máquina automática de pago de parqueadero en un concurrido centro comercial de la ciudad de Bogotá.

Lo anterior me recuerda una polémica bastante mencionada el año pasado sobre código malicioso corriendo en cajeros automáticos. Todo comenzó con el reporte de la empresa Trustwave de mayo de 2009 en donde analizan un ejemplar de código malicioso instalado en un cajero automático de Europa del Este en julio de 2005. Básicamente el malware se encarga de “capturar datos de la banda magnética y claves digitadas en el PIN pad” lo cual es suficiente para realizar cualquier acción con la cuenta robada debido a que se ha violado la autenticación de dos factores: Algo que se tiene (tarjeta) y algo que se sabe (la clave). Lo más inquietante del asunto es que el código malicioso fue encontrado en cajeros automáticos que corren el sistema operativo WINDOWS XP (es correcto, el mismo sistema operativo que se ve en la imagen superior).

Desde luego la respuesta del mayor fabricante de cajeros automáticos, Diebold, no se hizo esperar. En junio del mismo año el fabricante publicó una actualización crítica a sus sistemas y aprovechó para anunciar que la amenaza se encontraba aislada en Rusia y que el incidente requería de acceso físico al dispositivo (alguna persona de mantenimiento por ejemplo) por lo que una fuga de datos a través de la red no era posible (eso sin tener en cuenta que en el 2003 ya se había presentado un incidente relacionado con un famoso gusano Windows infectando cajeros automáticos)

Luego de revisar los últimos incidentes relacionados con la seguridad de las transacciones en cajeros automáticos, concluyo que es estrictamente necesario empezar a pensar en un cambio radical en cuanto al diseño e implementación de estos dispositivos los cuales son bastante críticos debido a que son el punto de acceso a las finanzas de millones de personas en el mundo. Lo ideal sería volver las condiciones dadas en los sesentas en donde los ATM contaban con sistemas operativos propietarios (como por ejemplo RMX) de único propósito los cuales estaban conectados mediante una línea dedicada directamente a un procesador de transacciones.

Si bien esta solución es muy posible que no sea viable (debido a factores económicos y de compatibilidad), si se deben implementar controles adicionales que refuercen la seguridad de la información en estos dispositivos como por ejemplo realizar la instalación de agentes de monitoreo en las redes de los ATM , procurar instalar Windows Embedded en vez de XP, incluir en los cajeros automáticos en la gestión de aplicación de actualizaciones para evitar infecciones de gusanos a través de la red y desde luego reforzar los controles de acceso del personal que realiza el mantenimiento a los cajeros. Finalmente, y no menos importante, se debe procurar NO INSTALAR WINDOWS XP PIRATA EN UN ATM: