Vulnerabilidad en el intérprete de comandos de Windows



Importancia: ALTA
Fecha de publicación: 22/07/2010
Descripción
Microsoft ha publicado un aviso de seguridad en el que informa que esta investigando ataques que se aprovechan de una vulnerabilidad en el intérprete de comandos de Windows. Actualizado: 22/07/2010

Solución

Actualizado: 22/07/2010
Microsoft, a día 21 de Julio ha pubicado un Fix-It para deshabilitar la funcionalidad de los ficheros .LNK y .PIF en equipos Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server R2. Tras la instalación los iconos de la barra de tareas y del menú de inicio serán remplazados por iconos blancos sin una representación gráfica. Para su instalación y configuración: Soporte Microsoft  (se abre en nueva ventana) Nota: La instalación del "Fix it" requiere reiniciar el equipo
Si existen problemas a la hora de instalar el "Fix it", puede desinstalar el mismo usando el ejecutable debajo de "Disable workaround" y llevar a cabo el proceso de forma manual:
  1. Seleccionar Inicio -> Ejecutar y escribir Regedit
  2. Localizar y pulsar la entrada de registro "HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler"
  3. Pulsar en el menú archivo y seleccionar exportar
  4. En el cuadro de diálogo de exportación introducir LNK_Icon_Backup.reg y pulsar en guardar. (Nota: Esto creará por defecto la clave de registro en "Mis Documentos")
  5. Seleccionar el valor (Default) en la parte derecha del editor del registro. Pulsar Intro para editar el valor de la clave. Pulsar suprimir para borrar el valor de la entrada, de manera que el valor quede vacío.
  6. Reiniciar explorer.exe o reiniciar el ordenador.
Deshabilitando el servicio WebClient ayuda a proteger los sistemas afectados de los intentos de aprovechar esta vulnerabilidad a distancia a través de WebDAV (Web Distributed Authoring and Versioning). Para deshabilitar WebClient Service:
  1. Seleccionar Inicio -> Ejecutar y escribir services.msc
  2. Pulsar boton derecho sobre WebClient service y seleccionar Properties
  3. Cambiar el tipo de inicio a Disable. Si el servicio está corriendo, pulsar Stop
  4. Pulsar OK y salir de la aplicación de gestión
Nota: Cuando el servicio WebClient está deshabilitado, las solicitudes de WebDAV no se transmitirán. Además, cualquier servicio que dependa explícitamente del servicio de Web Client no se iniciará, y un mensaje de error será generado en el registro del sistema.
Security by Default  (se abre en nueva ventana) además propone otra solución haciendo uso de las Directivas de Restricción de Software.  (se abre en nueva ventana)

Detalle

Actualizado: 22/07/2010
La vulnerabilidad existe porque Windows lee incorrectamente determinados enlaces directos (ficheros .lnk) que han sido previamente modificados, de tal manera que cuando el usuario visualiza dichos enlaces se ejecuta el código malicioso.
Según investigaciones de Frank Boldewin el objetivo del malware (perteneciente a la familia Stuxnet) que hace uso de esta vulnerabilidad está dirigido específicamente contra sistemas SCADA de gestión de infraestructuras WinCC de Siemens, que se ejecutan en entornos Windows aunque puede ser empleado para atacar a cualquier equipo Windows vulnerable. Se trata de un troyano con funcionalidades de rootkit para ocultar su presencia en el sistema y que se propaga fundamentalmente mediante dispositivos USB sin hacer uso del tradicional autorun.inf, es decir, que simplemente utilizando un explorador de ficheros que visualice iconos es suficiente para infectar el equipo.
Además hace uso de drivers firmados digitalmente por Realket lo que hace al troyano más ofensivo. Microsoft junto con Verising ha comenzado a revocar en sus sistemas tales certificados por lo que los equipos que hayan actualizado su lista de certificados mediante windows update  (se abre en nueva ventana) no serán afectados por este malware. Cabe destacar que equipos Windows XP y Windows 2000 que se encuentren fuera del "ciclo de vida" no recibirán más actualizaciones dejando sus sistemas vulnerables a esta amenaza. Si la reproducción automática (autorun) está deshabilitada, cuando un USB con un .lnk malicioso es insertado la infección no se llevará a cabo. El exploit es lanzado cada vez que un directorio que contiene un LNK malicioso es abierto independientemente del directorio en el que se encuentre. Los ficheros LNK apuntan a varios ficheros binarios ocultos (~wtr4141.tmp y ~wtr4132.tmp) que tras la infección instalarán dos controladores: mrxcls.sys y mrxnet.sys en %SystemRoot%\System32\drivers y que se encargarán entre otras acciones de seguir propagándose a otros dispositivos USB. El hecho de no necesitar ningúna acción por parte del usuario lo hace extremadamente serio ya que el mismo puede ser abierto en cualquier lugar, incluidas unidades compartidas, WebDAv, etc.
En los últimos días se están registrando diferentes tipos de malware que utilizan esta vulnerabilidad como vía de infección. Algunos binarios han sido firmados por JMicron Technology (otro fabricante de hardware taiwanés)
Según las últimas informaciones de Sophos, la vulnerabilidad puede ser explotada a través de la web, esto significa que un atacante podría enviar una URL maliciosa a un usuario y simplemente con visitar la misma resultaría infectado sin llevar a cabo otra acción adicional.

Texto original en CERT/ Inteco

Comentarios