Microsoft ha detectado ataques sobre una vulnerabilidad crítica en Windows Shell, y que afecta a todas las versiones de Windows XP, a Server 2003 y 2008, a Vista y a 7, tanto en versiones de 32 como de 64 bits, service packs incluidos. Esto la convierte en la primera vulnerabilidad grave y explotable que no será parcheada en Windows XP SP2, tras la retirada del soporte tanto para esta versión como para Vista RTM.
Si por el motivo que sea no has querido o no has podido instalar el SP3 en Windows XP (o el SP1 o SP2 en Vista), que sepas que tienes un sistema que sólo podrás proteger mediante trucos bastante incómodos. Aunque no aparece en la lista de Microsoft, hay que dar por hecho que Windows 2000 es vulnerable y no recibirá parche, al eliminarse su soporte por completo la semana pasada.
Aunque en la nota oficial afirman que la vulnerabilidad se está aprovechando usando pendrives infectados, también es posible explotarla a través de archivos compartidos por red o WebDAV.
El bug se encuentra en la gestión de los accesos directos (“shortcuts”) por parte de Windows, en concreto de los archivos donde se almacena la información relativa a dicho acceso (con extensión “.lnk”). Aparentemente, Windows comete un error al interpretar estos archivos, de tal forma que tan sólo hace falta que el usuario vea el contenido de la carpeta donde se almacena el acceso directo malicioso para aprovechar la vulnerabilidad. Ni siquiera es necesario ejecutar el acceso directo.
Debido a esto, tener desactivado el “autorun” y el “autoplay” no protege al usuario. Además, un rootkit que aproveche este fallo también evita todos los mecanismos de seguridad incluidos en Vista y 7, incluido el UAC (User Account Control).
Con la velocidad de reacción que le caracteriza, Microsoft aún no ha anunciado cuando resolverá el fallo, que suponemos no llegará hasta la próxima “fiesta del parche”, que toca el 10 de Agosto.
Mientras tanto, hay soluciones provisionales. Hay que evitar que Windows muestre los accesos directos, y también hay que desactivar el servicio WebClient. En ambos casos hay que trastear en sitios donde el usuario medio no debería ni mirar, con el engorro que supone además no disponer de accesos directos… teniendo que acudir directamente al ejecutable para abrir el programa que sea.
Gracias a Lesan por el chivatazo.
Vía | PC World
Sitio oficial | Microsoft
En Tecnología Pyme | Problema de seguridad con unidades extraíbles
En Genbeta | Microsoft dejará de dar soporte para Windows XP SP2 y Vista RTM
Ver 42 comentarios
42 comentarios
Camelot
La noticia fue actualizada:
Hasta ahora los antivirus y otros programas antimalware bloqueaban las infecciones que se transmitían por pendrivers apenas se conectaban y también cuando accedías a su contenido manualmente. El problema de este incidente es que al usar una driver certificado pasa como un archivo legítimo y por eso elude los sistemas de seguridad de Windows y de los propios programas de seguridad instalados.
Por lo tanto, lo interesante de esta actualización de INTECO es leer que quienes actualicen su lista de certificados mediante Windows Update ya no serán vulnerables a este malware. También podremos esperar que a no tardar las empresas de antivirus y antimalware seguramente colocaran estos certificados comprometidos en sus base de detección, porque según puede leerse ya han sido plenamente identificados.
Los creadores de malware no descansan y están a la caza de cualquier oportunidad por pequeña que sea, cuando no pueden con UAC tratan de entrar por el navegador y si no por algún complemento o plugin, y en este caso han llegado a usar el sistema de certificación digital de drivers para sus propios fines.
Camelot
Hablando de lo que hacen las empresas antivirus. Definitivamente no están de brazos cruzados. En el blog de ESET reportan que han encontrado un segundo controlador usado por este malware, igualmente firmado digitalmente pero comprometido como el de Realtek, esta vez se trata de uno perteneciente a la empresa JMicron Technology Corp.
Lo interesante del asunto es que revelaría algo sobre los que están detrás de este malware: que cuentan con los medios para hacerse, hasta ahora, con dos controladores legítimos o para comprarlos a quienes los robaron. Se demuestra una vez más que la creación de malware es un negocio donde se mueve mucho dinero, y con dinero estos sinvergüenzas pueden abrir muchas puertas.
lmxcraft
Muy bien por Alkar siempre pendiente de Windows.
56339
Siempre nos quedara Linux
Hector Macias Ayala
Para todos aquellos que se aferren a instalar esta cosa después del 2014, esto es lo que les espera.
nemilk
¿Y los antivirus para qué están? ¿Es que no se actualizan?
digital-m
No me ha terminado de quedar clara una cosa. ¿Windows XP SP3 también queda afectado o se salva?
Lo digo porque si es así veo que voy a tener que cambiarle el OS a mi estimada madre, con todo lo que le supondrán los cambios... :(
bionicle31
Como el programa de Cuatro: 21 DIAS (bueno, 22) sin accesos directos (versión XP-tan, claro)
- Dia 1: Esto no es tan malo, realmente se pasa bien...solo es acostumbrarse. - Dia 13: DADME UN ACEESO, EL ARCHIVO ORIGINAL ESTA A 200 KM!! - Dia 23, llegada del parche: *muerta* *la reaniman* AL FIN, VEN CON MAMA PARCHECITO
Usuario desactivado
Yo lo veo de lo más normal del mundo ¿si el SP3 es el ultimo, porque iban a sacar una actualización para un SP2? al que no se haya actualizado a SP3 dudo que le importe esta actualización (u otras actualizaciones), lo que le pase será su problema.
limones185
es decir k yo k tengo el windows 7 professional cn la beta del sp1 ando jodido no???
57899
"el engorro que supone además no disponer de accesos directos… teniendo que acudir directamente al ejecutable para abrir el programa que sea."
ERROR, no se pierde la funcionalidad de acceso directo, simplemente no se "leen" automáticamente (no se carga el icono, etc). Más atención en lo que se escribe, testear o que escriban los que saben.
Salu2.
nexusrsr
y si elimino los accesos directos pero me quedo con mi dock de stardock? serviría de nada?
Rodolfo
Era de esperarse, que nadie se extrañe que esto pasaría tarde que temprano.
radl
Esta vulnerabilidad es grave de cojones, y la propagación puede ser brutalmente rapida.
- No es necesario ejecutar
- Funciona en todos los Windows, incluido los Servers
- Se puede camuflar como cualquier cosa
- No hay prevista una solución hasta dentro de varias semanas
Menos mal que suelo usar casi siempre Linux y OSX ^^U
turitu
por fin una ayuda a combatir el conficker (era este, o era otro virus...?)