Investigación

El eco de Stuxnet

inesperados resultados de la investigación del paisaje de los ataques lanzados mediante exploits para productos de Microsoft

En Kaspersky Lab con regularidad hacemos investigaciones dedicadas a tipos concretos de amenazas informáticas. A principios de este año investigamos con detalle las amenazas informáticas financieras y a finales del año pasado, cuando se descubrían cada vez más nuevas y nuevas vulnerabilidades en Java, estudiamos el paisaje de los ataques lanzados contra los usuarios de nuestros productos usando exploits para vulnerabilidades en el popular software de la compañía Oracle.

Este verano hemos preparado un informe titulado “Windows: popularidad y vulnerabilidades, donde tratamos de entender cuán grande es el número de usuarios que utilizan versiones obsoletas de Windows y con qué frecuencia se topan con exploits para Windows y otros productos de Microsoft. Algunos de los resultados de esta investigación eran bastante inesperados.

En verano de 2010 se reveló la existencia de Stuxnet, un gusano informático que (como se supo después) fue creado con el expreso objetivo de sabotear el proceso de enriquecimiento de uranio en varias empresas de Irán. Stuxnet se convirtió en una verdadera bomba que demostró de qué es capaz el software malicioso si se concentra al límite su especificidad y se lo prepara escrupulosamente. Para propagarse el gusano usaba un exploit para la vulnerabilidad CVE-2010-2568. Se trata de un error en el procesamiento de los accesos directos del sistema operativo Windows que permite cargar cualquier biblioteca dinámica sin que el usuario se dé cuenta. La vulnerabilidad afectó a los sistemas Windows XP, Vista, 7, como también a Windows Server 2003 y 2008.

Los primeros programas maliciosos que explotaban esta vulnerabilidad se detectaron en julio de 2010. En particular, el gusano Sality la usaba para propagar su propio código: el gusano genera accesos directos vulnerables y los propaga en la red local. Basta que el usuario abra una carpeta que contenga este acceso directo para iniciar el lanzamiento del programa malicioso. Después de Sality y Stuxnet los famosos programas espía Flame y Gauss también usaron esta vulnerabilidad.

Microsoft publicó una actualización de seguridad que cerraba esta vulnerabilidad ya en otoño de 2010. Pero a pesar de esto, los sistemas de detección de Kaspersky Lab hasta ahora siguen registrando decenas de millones de detecciones de exploits que usan la vulnerabilidad CVE-2010-2568. Para ser más exactos, en el periodo estudiado registramos más de 50 millones de detecciones en más de 19 millones de ordenadores en todo el mundo.

También es muy elocuente la distribución de los sistemas operativos en los cuales se registraron detecciones del exploit para vulnerabilidades LNK. La mayor parte de las detecciones (64,19%) en los últimos ocho meses correspondió a Windows XP y sólo el 27,99% a Windows 7. Los productos de Kaspersky Lab que protegen los sistemas operativos para servidores Windows Server 2003 y 2008 también informan regularmente sobre la detección de estos exploits, con el 1,58% y 3,99% de detecciones respectivas. La gran cantidad de detecciones en los equipos de los usuarios de Windows XP es un indicio de que en la mayoría de estos no hay una solución de defensa instalada, de que se usa una versión vulnerable de Windows o una combinación de ambos factores. Las detecciones en los sistemas para servidores indican la presencia de accesos directos que explotan la vulnerabilidad CVE-2010-2568 en las carpetas de red con acceso abierto.

También es interesante la distribución geográfica de todas las detecciones registradas de CVE-2010-2568.

Distribución geográfica de las reacciones de los productos de Kaspersky Lab ante los exploits para la vulnerabilidad CVE-2010-2568 en el periodo desde noviembre de 2013 hasta junio de 2014.

Como podemos ver, Vietnam (42,45%), India (11,7%) y Argelia (5,52%) no sólo están entre los líderes por el porcentaje de utilización del obsoleto Windows XP, sino también en la cima por las reacciones de los productos de Kaspersky Lab ante una de las vulnerabilidades de Windows más peligrosas entre las conocidas hasta hoy. Merece la pena destacar que según los datos de la misma investigación, estos tres países están entre los líderes por su porcentaje de usuarios del obsoleto Windows XP.

Vietnam 38,79%
China 27,35%
India 26,88%
Argelia 24,25%
Italia 20,31%
España 19,26%
Federación Rusa 17,40%
Francia 12,04%
Alemania 8,54%
EE.UU. 4,52%

Top 10 de países con mayor cantidad de usuarios de Windows XP entre el total de usuario de Windows

No es sorprendente que los ataques que explotan CVE-2010-2568 hasta ahora se sigan difundiendo. La gran cantidad de usuarios de sistemas vulnerables hace que los exploits para esta vulnerabilidad sean efectivos, aún cuatro años más tarde de que se publicara el parche que la cierra.

Puedes leer los demás resultados de la investigación “Windows: popularidad y vulnerabilidades en la versión completa del informe.

El eco de Stuxnet

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada