El eco de Stuxnet

En Kaspersky Lab con regularidad hacemos investigaciones dedicadas a tipos concretos de amenazas informáticas. A principios de este año investigamos con detalle las amenazas informáticas financieras y a finales del año pasado, cuando se descubrían cada vez más nuevas y nuevas vulnerabilidades en Java, estudiamos el paisaje de los ataques lanzados contra los usuarios de nuestros productos usando exploits para vulnerabilidades en el popular software de la compañía Oracle.

Este verano hemos preparado un informe titulado “Windows: popularidad y vulnerabilidades, donde tratamos de entender cuán grande es el número de usuarios que utilizan versiones obsoletas de Windows y con qué frecuencia se topan con exploits para Windows y otros productos de Microsoft. Algunos de los resultados de esta investigación eran bastante inesperados.

En verano de 2010 se reveló la existencia de Stuxnet, un gusano informático que (como se supo después) fue creado con el expreso objetivo de sabotear el proceso de enriquecimiento de uranio en varias empresas de Irán. Stuxnet se convirtió en una verdadera bomba que demostró de qué es capaz el software malicioso si se concentra al límite su especificidad y se lo prepara escrupulosamente. Para propagarse el gusano usaba un exploit para la vulnerabilidad CVE-2010-2568. Se trata de un error en el procesamiento de los accesos directos del sistema operativo Windows que permite cargar cualquier biblioteca dinámica sin que el usuario se dé cuenta. La vulnerabilidad afectó a los sistemas Windows XP, Vista, 7, como también a Windows Server 2003 y 2008.

Los primeros programas maliciosos que explotaban esta vulnerabilidad se detectaron en julio de 2010. En particular, el gusano Sality la usaba para propagar su propio código: el gusano genera accesos directos vulnerables y los propaga en la red local. Basta que el usuario abra una carpeta que contenga este acceso directo para iniciar el lanzamiento del programa malicioso. Después de Sality y Stuxnet los famosos programas espía Flame y Gauss también usaron esta vulnerabilidad.

Microsoft publicó una actualización de seguridad que cerraba esta vulnerabilidad ya en otoño de 2010. Pero a pesar de esto, los sistemas de detección de Kaspersky Lab hasta ahora siguen registrando decenas de millones de detecciones de exploits que usan la vulnerabilidad CVE-2010-2568. Para ser más exactos, en el periodo estudiado registramos más de 50 millones de detecciones en más de 19 millones de ordenadores en todo el mundo.

También es muy elocuente la distribución de los sistemas operativos en los cuales se registraron detecciones del exploit para vulnerabilidades LNK. La mayor parte de las detecciones (64,19%) en los últimos ocho meses correspondió a Windows XP y sólo el 27,99% a Windows 7. Los productos de Kaspersky Lab que protegen los sistemas operativos para servidores Windows Server 2003 y 2008 también informan regularmente sobre la detección de estos exploits, con el 1,58% y 3,99% de detecciones respectivas. La gran cantidad de detecciones en los equipos de los usuarios de Windows XP es un indicio de que en la mayoría de estos no hay una solución de defensa instalada, de que se usa una versión vulnerable de Windows o una combinación de ambos factores. Las detecciones en los sistemas para servidores indican la presencia de accesos directos que explotan la vulnerabilidad CVE-2010-2568 en las carpetas de red con acceso abierto.

También es interesante la distribución geográfica de todas las detecciones registradas de CVE-2010-2568.

Distribución geográfica de las reacciones de los productos de Kaspersky Lab ante los exploits para la vulnerabilidad CVE-2010-2568 en el periodo desde noviembre de 2013 hasta junio de 2014.

Como podemos ver, Vietnam (42,45%), India (11,7%) y Argelia (5,52%) no sólo están entre los líderes por el porcentaje de utilización del obsoleto Windows XP, sino también en la cima por las reacciones de los productos de Kaspersky Lab ante una de las vulnerabilidades de Windows más peligrosas entre las conocidas hasta hoy. Merece la pena destacar que según los datos de la misma investigación, estos tres países están entre los líderes por su porcentaje de usuarios del obsoleto Windows XP.

Top 10 de países con mayor cantidad de usuarios de Windows XP entre el total de usuario de Windows

No es sorprendente que los ataques que explotan CVE-2010-2568 hasta ahora se sigan difundiendo. La gran cantidad de usuarios de sistemas vulnerables hace que los exploits para esta vulnerabilidad sean efectivos, aún cuatro años más tarde de que se publicara el parche que la cierra.

Puedes leer los demás resultados de la investigación “Windows: popularidad y vulnerabilidades en la versión completa del informe.