¡TDL4 comienza a utilizar una vulnerabilidad del “día 0”!

A principios de Diciembre, los expertos de Kaspersky Lab detectaron muestras del programa malicioso TDL4, una nueva modificación de TDSS, que utiliza una vulnerabilidad “del día 0” para aumentar sus privilegios en Windows 7/2008 x86/x64 (Windows Task Scheduler Privilege Escalation, CVE: 2010-3888). Mientras analizábamos Stuxnet notamos que los escritores de virus ya estaban explotando esta vulnerabilidad.

Un exploit para esta vulnerabilidad permite que el rootkit TDL4 se instale en el sistema sin que las herramientas de seguridad del Control de Cuentas de Usuario (UAC) muestren ninguna notificación. UAC está activado de forma predeterminada en las últimas versiones de Windows.

Después de que el troyano se ejecuta en el sistema, por ejemplo en Windows 7, su proceso UAC recibe la credencial filtrada (mientras UAC se está ejecutando) con los privilegios del usuario. Un intento de inyectar el proceso de administración de colas de impresión causa un error (ERROR_ACCESS_DENIED).

El error ocurre cuando TDL4 intenta irrumpir en el proceso de administración de colas de impresión.

Las modificaciones anteriores de este programa malicioso también intentan penetrar en este proceso. Pero las nuevas modificaciones tratan de utilizar el exploit “del día 0” para aumentar sus privilegios hasta el nivel de SistemaLocal.

Se crea una tarea especial de administración de tareas

Las modificaciones anteriores de este programa malicioso también intentan penetrar en este proceso. Pero las nuevas modificaciones tratan de utilizar el exploit “del día 0” para aumentar sus privilegios hasta el nivel de SistemaLocal.

Se crea una tarea especial de administración de tareas

Lo interesante es que el instalador del rootkit tiene un código especial para burlar algunas herramientas de protección proactiva. Algunas de estas herramientas se conectan a la función NtConnectPort en SSDT para evitar que TDL4 se inyecte en spoolsv; si el número de puerto es “RPC Controlspoolss”, aparece una notificación diciendo que se intentó penetrar en el proceso de administración de impresiones. Los creadores de TDL4 encontraron una “solución” simple para este problema: se conectan al puerto ntdll.ZwConnectPort en el proceso TDL4 y revisan el valor del parámetro ServerPortName que se envía a la función (una cadena de caracteres UNICODE); si es “RPC Controlspoolss”, la reemplazan con una análoga que contiene un enlace simbólico al directorio de la raíz del administrador de objetos.

El código que burla las tecnologías de seguridad proactiva.

TDSS confirmó que es uno de los programas maliciosos más complejos y peligrosos.

P.D. Muchísimas gracias a Vasili Berdnikov (Vaber) por ayudarme a preparar el material para esta entrada.