Esta madrugada del sábado a domingo, antes de que acabe esta segunda
semana de mes (la oficial de Microsoft para publicar parches de
actualización) ya se han detectado ejemplares de malware que explotan
una de las vulnerabilidades solventadas por estos.
El pasado martes, y dentro del marco de su famosa política de
publicación mensual de parches, Microsoft publicó una larga lista de
boletines que solventaban una lista aún mayor de vulnerabilidades,
muchas de ellas clasificadas como críticas. Entre estos boletines nos
encontrábamos con uno que, con solo echar un vistazo al contenido,
clamaba a gritos ser convertido en vector de ataque para malware:
MS06-040.
Este boletín describe una vulnerabilidad en el servicio Server
utilizado en los sistemas 2000, XP y 2003. Afectaba a todos ellos,
incluso en el caso de XP con su Service Pack 2 instalado, o 2003 con
el SP1. Microsoft clasificó la gravedad del impacto sobre todas estas
plataformas como crítica, por lo que puede dar a priori una idea de la
peligrosidad del asunto.
El servicio Server ofrece un interface RPC (Remote Procedure Call:
llamadas a procedimientos remotos) para soporte de impresión de
archivos y compartición de pipes con nombre en entornos de red. El
problema en sí se debe a un desbordamiento de buffer dentro de este
servicio, que en principio podía ser explotado para provocar
denegaciones de servicio o incluso para provocar la ejecución remota
de código arbitrario.
El propio boletín de Microsoft ya avisaba sobre la especial propensión
a sufrir este ataque por parte de plataformas Windows 2000, debido a
la naturaleza en sí de la vulnerabilidad. No han pasado más que unos
días para ver hecho realidad lo que todos temíamos: ya hay
confirmación de la existencia de malware en la red que hace uso de la
vulnerabilidad descrita para infectar sistemas afectados.
Ha sido Swa Frantzen, handler del Internet Storm Center de SANS, el
encargado de avisar de la presencia de este malware que, en esta
ocasión, viene en forma de bot que de momento se ha visto con el
nombre 'wgareg.exe' y con un valor hash md5 de
9928a1e6601cf00d0b7826d13fb556f0.
Frantzen utilizó nuestro servicio VirusTotal para comprobar que tal se
estaban portando las soluciones antivirus para detectar esta amenaza.
Tras enviarlo al servicio, comprobó que sólo 9 de los 27 motores
incluidos en el servicio eran capaces de detectarlo, y todos ellos
mediante heurísticas.
No hay que confiarse de todas formas sobre este perfil, ya que la
gente de LURHQ ha comentado que han detectado la existencia de una
variante diferente, con nombre 'wgavm.exe' y valor hash md5 de
2bf2a4f0bdac42f4d6f8a062a7206797 que también está haciendo de las
suyas. Dado que usa los mismos servidores de control que el
anteriormente nombrado, se sospecha que esta otra variante es una
versión precursora de la detectada con nombre 'wgareg.exe'.
Este malware está diseñado para formar parte de una red de bots de los
utilizados para, por ejemplo, realizar ataques de denegación de
servicio distribuidas (DDoS). Se cree que es una evolución de Mocbot,
ejemplar que apareció a finales del año pasado y que explotaba la
vulnerabilidad del servicio PNP descrita en el boletín MS05-039. Esta
nueva versión es controlada también desde servidores IRC localizados
en China. Al igual que los profesionales del Phishing, los creadores
de este ejemplar de malware aprovechan la falta de cooperación de las
entidades de dicho país a la hora de actuar contra sitios que hospedan
contenido malicioso.
No podemos dejar de remarcar la importancia de mantener los sistemas
parcheados de forma adecuada, no sólo como protección puntual contra
este tipo de amenazas, sino como algo que debe formar parte de las
buenas prácticas de seguridad en cualquier entorno corporativo o
casero. Los creadores de malware aprovechan la desidia de los
administradores y usuarios a la hora de aplicar esta regla para
infectar decenas de miles de ordenadores con sus creaciones.
Es muy importante también aplicar una política de defensa en
profundidad a la hora de utilizar tecnologías antivirus en entornos
corporativos. La planificación y aplicación de políticas y
procedimientos sólidos y coherentes con cada entorno particular es uno
de los puntos importantes que destacamos durante nuestras actividades
de auditoría y consultoría en este campo. Es recomendable, por
ejemplo, el uso de al menos dos soluciones antivirus de casas
diferentes para complementar las capacidades de ambas y así minimizar
en lo posible el riesgo de una infección dentro de las redes.
Para luchar contra esta amenaza en concreto, también existen firmas de
SNORT que detectarían la presencia de la amenaza en entornos
infectados. Hay ya unas escritas y disponibles para su uso, y que
pueden ser encontradas en el enlace que incluimos al pie de este
una-al-día, concretamente en el aviso de LURHQ.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2850/comentar
Más Información:
-
Doce boletines de seguridad de Microsoft en agosto
http://www.hispasec.com/unaaldia/2846
Vulnerability in Server Service Could Allow Remote Code Execution
(921883)
http://www.microsoft.com/technet/se...6-040.mspx
MS06-040 exploit in the wild
http://isc.sans.org/diary.php?storyid92
Mocbot/MS06-040 IRC Bot Analysis
http://www.lurhq.com/mocbot-ms06040.html
Microsoft Security Advisory (922437): Exploit Code Published Affecting
the Server Service
http://www.microsoft.com/technet/se...22437.mspx
VirusTotal
http://www.virustotal.com
Wikipedia: Botnets
http://es.wikipedia.org/wiki/Botnet Julio Canto
Habemus malware para MS06-040
http://www.hispasec.com/unaaldia/2850
Un saludo, Flint
Gijon Fortuna (773926) www.fibha.com
Leer las respuestas