Esta madrugada del sábado a domingo, antes de que acabe esta segunda semana de mes (la oficial de Microsoft para publicar parches de actualización) ya se han detectado ejemplares de malware que explotan una de las vulnerabilidades solventadas por estos.
El pasado martes, y dentro del marco de su famosa política de publicación mensual de parches, Microsoft publicó una larga lista de boletines que solventaban una lista aún mayor de vulnerabilidades, muchas de ellas clasificadas como críticas. Entre estos boletines nos encontrábamos con uno que, con solo echar un vistazo al contenido, clamaba a gritos ser convertido en vector de ataque para malware: MS06-040.
Este boletín describe una vulnerabilidad en el servicio Server utilizado en los sistemas 2000, XP y 2003. Afectaba a todos ellos, incluso en el caso de XP con su Service Pack 2 instalado, o 2003 con el SP1. Microsoft clasificó la gravedad del impacto sobre todas estas plataformas como crítica, por lo que puede dar a priori una idea de la peligrosidad del asunto.
El servicio Server ofrece un interface RPC (Remote Procedure Call: llamadas a procedimientos remotos) para soporte de impresión de archivos y compartición de pipes con nombre en entornos de red. El problema en sí se debe a un desbordamiento de buffer dentro de este servicio, que en principio podía ser explotado para provocar denegaciones de servicio o incluso para provocar la ejecución remota de código arbitrario.
El propio boletín de Microsoft ya avisaba sobre la especial propensión a sufrir este ataque por parte de plataformas Windows 2000, debido a la naturaleza en sí de la vulnerabilidad. No han pasado más que unos días para ver hecho realidad lo que todos temíamos: ya hay confirmación de la existencia de malware en la red que hace uso de la vulnerabilidad descrita para infectar sistemas afectados.
Ha sido Swa Frantzen, handler del Internet Storm Center de SANS, el encargado de avisar de la presencia de este malware que, en esta ocasión, viene en forma de bot que de momento se ha visto con el nombre ‘wgareg.exe’ y con un valor hash md5 de 9928a1e6601cf00d0b7826d13fb556f0.
Frantzen utilizó nuestro servicio VirusTotal para comprobar que tal se estaban portando las soluciones antivirus para detectar esta amenaza. Tras enviarlo al servicio, comprobó que sólo 9 de los 27 motores incluidos en el servicio eran capaces de detectarlo, y todos ellos mediante heurísticas.
No hay que confiarse de todas formas sobre este perfil, ya que la gente de LURHQ ha comentado que han detectado la existencia de una variante diferente, con nombre ‘wgavm.exe’ y valor hash md5 de 2bf2a4f0bdac42f4d6f8a062a7206797 que también está haciendo de las suyas. Dado que usa los mismos servidores de control que el anteriormente nombrado, se sospecha que esta otra variante es una versión precursora de la detectada con nombre ‘wgareg.exe’.
Este malware está diseñado para formar parte de una red de bots de los utilizados para, por ejemplo, realizar ataques de denegación de servicio distribuidas (DDoS). Se cree que es una evolución de Mocbot, ejemplar que apareció a finales del año pasado y que explotaba la vulnerabilidad del servicio PNP descrita en el boletín MS05-039. Esta nueva versión es controlada también desde servidores IRC localizados en China. Al igual que los profesionales del Phishing, los creadores de este ejemplar de malware aprovechan la falta de cooperación de las entidades de dicho país a la hora de actuar contra sitios que hospedan contenido malicioso.
No podemos dejar de remarcar la importancia de mantener los sistemas parcheados de forma adecuada, no sólo como protección puntual contra este tipo de amenazas, sino como algo que debe formar parte de las buenas prácticas de seguridad en cualquier entorno corporativo o casero. Los creadores de malware aprovechan la desidia de los administradores y usuarios a la hora de aplicar esta regla para infectar decenas de miles de ordenadores con sus creaciones.
Es muy importante también aplicar una política de defensa en profundidad a la hora de utilizar tecnologías antivirus en entornos corporativos. La planificación y aplicación de políticas y procedimientos sólidos y coherentes con cada entorno particular es uno de los puntos importantes que destacamos durante nuestras actividades de auditoría y consultoría en este campo. Es recomendable, por ejemplo, el uso de al menos dos soluciones antivirus de casas diferentes para complementar las capacidades de ambas y así minimizar en lo posible el riesgo de una infección dentro de las redes.
Para luchar contra esta amenaza en concreto, también existen firmas de SNORT que detectarían la presencia de la amenaza en entornos infectados. Hay ya unas escritas y disponibles para su uso, y que pueden ser encontradas en el enlace que incluimos al pie de este una-al-día, concretamente en el aviso de LURHQ.
jcanto@hispasec.com
Más información:
———-
Doce boletines de seguridad de Microsoft en agosto
http://www.hispasec.com/unaaldia/2846
Vulnerability in Server Service Could Allow Remote Code Execution (921883)
http://www.microsoft.com/technet/security/Bulletin/MS06-040.mspx
MS06-040 exploit in the wild
http://isc.sans.org/diary.php?storyid=1592
Mocbot/MS06-040 IRC Bot Analysis
http://www.lurhq.com/mocbot-ms06040.html
Microsoft Security Advisory (922437): Exploit Code Published Affecting the Server Service
http://www.microsoft.com/technet/security/advisory/922437.mspx
VirusTotal
http://www.virustotal.com
Wikipedia: Botnets
http://es.wikipedia.org/wiki/Botnet
Deja un comentario