Mirtos y Guayabas, Episodio MS10-061

En las últimas semanas, la industria antivirus ha continuado con sus sostenidos esfuerzos en la investigación del gusano Stuxnet. Publicamos un blog sobre nuestros hallazgos sobre este malware: es posible que nuestros blogs sobre Stuxnet hayan llegado a su fin, lo que no significa que suspendamos nuestra investigación.

Un importante elemento que identificamos en nuestra investigación es que Stuxnet explota varias vulnerabilidades día-cero de Windows. Sí, tal como acabas de leer: vulnerabilidades del día-cero.

Hasta este momento, nos hemos concentrado en la vulnerabilidad LNK/PIF que Stuxnet explota para propagarse a través de medios de almacenamiento portátiles y de redes. Pero esta no fue la única sorpresa que Stuxnet nos depararía. El gusano no se propaga sólo mediante la vulnerabilidad LNK, sino que una vez que ha infectado un equipo en una red local, intenta penetrar otros equipos a través de otras dos rutinas de propagación.

Para empezar, Stuxnet está diseñado para explotar la vulnerabilidad MS08-067, la misma que Kido (también conocido como Conficker) utilizó a principios de 2009.

Además del código de explotación de la vulnerabilidad MS08-067, Stuxnet contiene un exploit para una vulnerabilidad, previamente identificada, en el servicio Print Spooler; esta vulnerabilidad facilita la penetración del código malicioso, y su posterior ejecución en un equipo remoto. Son dos archivos (winsta.exe y sysnullevent.mof) que aparecen en los equipos infectados. No sólo se trata de la forma en que este código malicioso accede al equipo remoto, la cual es muy interesante, sino también de la forma en que el código se ejecuta.

Tan pronto como identificamos la vulnerabilidad, procedimos a informar a Microsoft sobre el problema y ellos confirmaron nuestro hallazgo: la vulnerabilidad se identificó como “Print Spooler Service Impersonation Vulnerability”, y se la clasificó como “Crítica”. Microsoft ha publicado el parche MS10-061 para reparar esta vulnerabilidad.

Un análisis de esta vulnerabilidad revela que los ordenadores con acceso compartido a una impresora corren el riesgo de infección. Durante el análisis, buscamos en nuestra colección otros programas maliciosos capaces de usar esta vulnerabilidad. Afortunadamente, no encontramos ninguno.

Además de las mencionadas, hemos identificado otra vulnerabilidad día-cero en el código Stuxnet; esta vez es una vulnerabilidad Elevation of Privilege (EoP). El gusano la aprovecha para ganar el control total del sistema afectado. Microsoft ha identificado una segunda vulnerabilidad EoP, y ambas encontrarán pronto su reparación en un boletín de seguridad.

El hecho de que Stuxnet ataque a cuatro vulnerabilidades desconocidas hace que este gusano sobresalga por sobre todos los programas malware. Es la primera vez que nos encontramos con una amenaza que contiene tantas “sorpresas”. Hay que añadir a esto el uso de certificados de Realtek y JMicron, y también hay que tener en cuenta que el objetivo fundamental de Stuxnet es acceder a los sietmas Simatic WinCC SCADA.

Sin duda Stuxnet es obra de profesionales con amplios conocimientos sobre tecnologías antivirus y sus debilidades, sobre vulnerabilidades aún desconocidas, y sobre la arquitectura y hardware de WinCC y PSC7.

Este trabajo conjunto con Microsoft y otras compañías antivirus ya lleva dos meses de investigación. Presentaremos nuestros hallazgos, incluyendo un detallado informe sobre el funcionamiento de la vulnerabilidad, a fin de mes, en la conferencia de Virus Bulletin.