Kaspersky Lab ha cooperado con Microsoft para solucionar una seria vulnerabilidad de Microsoft Windows.
La vulnerabilidad, clasificada como de “día cero” cuando fue detectada, ha sido utilizada por el famoso gusano Stuxnet. Este gusano es importante, ya que se trata de una herramienta de espionaje industrial: está diseñado para obtener acceso al sistema operativo Siemens WinCC, responsable de recopilar datos y monitorizarlos.
Desde su aparición el pasado mes de julio, los especialistas en seguridad han podido estudiarlo de cerca. Los expertos de Kaspersky Lab han ido más allá en la búsqueda de las funcionalidades de Stuxnet y han descubierto que, además de la vulnerabilidad que fue detectada en un origen (al procesar archivos LNK y PIF), también utiliza otras cuatro vulnerabilidades de Microsoft.
Un ejemplo es MS08-067, vulnerabilidad que también fue utilizada por el tristemente célebre gusano Kido (Conficker) a principios de 2009. Las otras tres brechas eran desconocidas hasta ahora y están en las versiones actuales de Windows.
Junto con MS08-067, Stuxnet también utiliza otra vulnerabilidad para propagarse, localizada en el servicio Windows Print Spooler, que puede ser utilizada para enviar código malicioso a un ordenador remoto cuando se ejecuta el programa. Debido a las características de esta brecha, la infección puede extenderse a ordenadores que usan una impresora o a través del acceso compartido a una de ellas. Una vez que ha infectado un ordenador conectado a una red, Stuxnet intenta expandirse a otros ordenadores.
En cuanto los expertos de Kaspersky Lab detectaron esta vulnerabilidad, informaron a Microsoft, donde la analizaron y coincidieron con Kaspersky Lab en sus descubrimientos. La vulnerabilidad fue bautizada como “Print Spooler Service Impersonation” y fue clasificada como “crítica”. Microsoft comenzó a trabajar de forma inmediata para cerrar el bucle y lanzó el parche MS10-061 el pasado 14 de septiembre.
Kaspersky Lab detectó todavía otra vulnerabilidad de día cero en el código de Stuxnet. Fue clasificada como “Elevation of Privilege” (EoP) y el gusano podía utilizarla para obtener un control total del ordenador infectado. Otra vulnerabilidad similar fue detectada también por los expertos de Microsoft. Ambas serán corregidas en futuras actualizaciones de seguridad para los sistemas operativos Windows.
Alexander Gostev, experto jefe en seguridad de Kaspersky Lab, jugó un papel activo en la identificación de la nueva amenaza y cooperó de cerca con Microsoft para resolver el problema. Alexander ha publicado un blogpost informativo sobre el tema. Los datos recopilados en el análisis de Stuxnet, incluyendo los detalles de cómo se podían explotar estas vulnerabilidades, se presentarán en la conferencia Virus Bulletin de Canadá en septiembre de 2010.
“Stuxnet fue el primer programa de malware capaz de explotar de forma simultánea hasta cuatro vulnerabilidades”, comentó Alexander Gostev. “Esto lo hace único: es la primera amenaza que hemos detectado que contiene tantas sorpresas en un simple paquete. Antes de que detectásemos esta nueva vulnerabilidad, debía valer una fortuna para los hackers. Dado que Stuxnet también utiliza los certificados digitales Realtek y Jmicron – y recordemos que su función era robar los datos almacenados en Simatic WinCC SCADA – todo esto lo convierte en una amenaza sin precedentes. Tenemos que decirlo, sus desarrolladores han demostrado grandes cualidades en programación”.
Todos los productos de Kaspersky Lab detectan y neutralizan Stuxnet.
(China)
(Japan)
(Korea)
