Vulnerabilidad en el intérprete de comandos de Windows

Microsoft ha publicado un aviso de seguridad en el que informa que esta investigando ataques que se aprovechan de una vulnerabilidad en el intérprete de comandos de Windows.

Sistemas Afectados

  • Windows XP Service Pack 3
  • Windows XP Professional x64 Edition Service Pack 2
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition Service Pack 2
  • Windows Server 2003 with SP2 para sistemas Itanium
  • Windows Vista Service Pack 1
  • Windows Vista Service Pack 2
  • Windows Vista x64 Edition Service Pack 1
  • Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008 para 32-bit
  • Windows Server 2008 para 32-bit Service Pack 2
  • Windows Server 2008 para x64
  • Windows Server 2008 para x64 Service Pack 2
  • Windows Server 2008 para sistemas Itanium
  • Windows Server 2008 para sistemas Itanium Service Pack 2
  • Windows 7 para 32-bit
  • Windows 7 para x64
  • Windows Server 2008 R2 para x64
  • Windows Server 2008 R2 para sistemas Itanium

Detalle

La vulnerabilidad existe porque Windows lee incorrectamente determinados enlaces directos (ficheros .lnk) que han sido previamente modificados, de tal manera que cuando el usuario visualiza dichos enlaces se ejecuta el código malicioso.

Según investigaciones de Frank Boldewin el objetivo del malware (perteneciente a la familia Stuxnet) que hace uso de esta vulnerabilidad está dirigido específicamente contra sistemas SCADA de gestión de infraestructuras WinCC de Siemens, que se ejecutan en entornos Windows aunque puede ser empleado para atacar a cualquier equipo Windows vulnerable. Se trata de un troyano con funcionalidades de rootkit para ocultar su presencia en el sistema y que se propaga fundamentalmente mediante dispositivos USB sin hacer uso del tradicional autorun.inf, es decir, que simplemente utilizando un explorador de ficheros que visualice iconos es suficiente para infectar el equipo.

Además hace uso de drivers firmados digitalmente por Realket lo que hace al troyano más ofensivo. Microsoft junto con Verising ha comenzado a revocar en sus sistemas tales certificados por lo que los equipos que hayan actualizado su lista de certificados mediante windows update no serán afectados por este malware. Cabe destacar que equipos Windows XP y Windows 2000 que se encuentren fuera del “ciclo de vida” no recibirán más actualizaciones dejando sus sistemas vulnerables a esta amenaza. Si la reproducción automática (autorun) está deshabilitada, cuando un USB con un .lnk malicioso es insertado la infección no se llevará a cabo. El exploit es lanzado cada vez que un directorio que contiene un LNK malicioso es abierto independientemente del directorio en el que se encuentre. Los ficheros LNK apuntan a varios ficheros binarios ocultos (~wtr4141.tmp y ~wtr4132.tmp) que tras la infección instalarán dos controladores: mrxcls.sys y mrxnet.sys en %SystemRoot%\System32\drivers y que se encargarán entre otras acciones de seguir propagándose a otros dispositivos USB. El hecho de no necesitar ningúna acción por parte del usuario lo hace extremadamente serio ya que el mismo puede ser abierto en cualquier lugar, incluidas unidades compartidas, WebDAv, etc.

Solución

Como solución temporal hasta que saquen un parche, Microsoft recomienda deshabilitar los iconos de los enlaces directos:

  1. Seleccionar Inicio -> Ejecutar y escribir Regedit
  2. Localizar y pulsar la entrada de registro “HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler”
  3. Pulsar en el menú archivo y seleccionar exportar
  4. En el cuadro de diálogo de exportación introducir LNK_Icon_Backup.reg y pulsar en guardar. (Nota:Esto creará por defecto la clave de registro en “Mis Documentos”)
  5. Seleccionar el valor (Default) en la parte derecha del editor del registro. Pulsar Intro para editar el valor de la clave. Pulsar suprimir para borrar el valor de la entrada, de manera que el valor quede vacío.
  6. Reiniciar explorer.exe o reiniciar el ordenador.

Deshabilitando el servicio WebClient ayuda a proteger los sistemas afectados de los intentos de aprovechar esta vulnerabilidad a distancia a través de WebDAV (Web Distributed Authoring and Versioning). Para deshabilitar WebClient Service:

  1. Seleccionar Inicio -> Ejecutar y escribir services.msc
  2. Pulsar boton derecho sobre WebClient service y seleccionar Properties
  3. Cambiar el tipo de inicio a Disable. Si el servicio está corriendo, pulsar Stop
  4. Pulsar OK y salir de la aplicación de gestión

Nota: Cuando el servicio WebClient está deshabilitado, las solicitudes de WebDAV no se transmitirán. Además, cualquier servicio que dependa explícitamente del servicio de Web Client no se iniciará, y un mensaje de error será generado en el registro del sistema.

Share