Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Malware / Stuxnet o la vulnerabilidad que Microsoft nunca corrigió

Stuxnet o la vulnerabilidad que Microsoft nunca corrigió

Por 1 comentario

Stuxnet, fue sin duda uno de los malware que más dio que hablar allá por el 2010. Supuestamente diseñado y financiado por Estados Unidos e Israel para atacar el plan nuclear Iraní, marcó un antes y un después en el mundo del malware. Acaparó titulares y representó el inicio de una época y de lo que ya conocemos como ciberarmas.

Uno de los aspectos más relevantes fue el uso de hasta cuatro vulnerabilidades desconocidas hasta aquel momento para ejecutar código en las máquinas infectadas. Una de ellas permitía la ejecución de código aunque el AutoPlay y AutoRun se encontrasen desactivados. Esto ayudaba a su máxima difusión a través de dispositivos USB y del propio explorador de Windows. Fue parcheada por Microsoft en agosto de 2010, en un boletín de emergencia… o eso pensábamos hasta ayer.

Sí, como suena. La vulnerabilidad no estaba corregida. Ha sido entre el conjunto de parches publicado el pasado martes cuando bajo la actualización MS15-020 se ha terminado de solucionar el fallo que nunca se había solucionado totalmente y que incomprensiblemente ha pasado desapercibido durante casi cinco años. Incluso ha sido heredada en sistemas operativos posteriores como Windows Server 2012 o Windows 8.1.
Ha sido Zero Day Initiative la que reportó el problema, detectado por el investigador Michael Heerklotz a primeros de enero.

«The patch failed. And for more than four years, all Windows systems have been vulnerable to exactly the same attack that Stuxnet used for initial deployment.» El parche falló. Y durante más de cuatro años, todos los sistemas Windows han estado vulnerable a exactamente el mismo ataque que Stuxnet empleó en su despliegue inicial«).

Como siempre, de acuerdo a su política reportó el fallo a Microsoft y ha ofrecido los detalles una vez que la firma de Redmon ha publicado una actualización. HP ha publicado un amplio y detallado informe técnico de como se producía el salto del problema, junto un vídeo que muestra como efectivamente se seguía reproduciendo la vulnerabilidad.

https://www.youtube.com/watch?v=yBJUytqBN70
Como la forma de explotar el problema es diferente a la original empleada por Stuxnet, Microsoft ha tratado el problema como si de una nueva vulnerabilidad se tratara, y le ha asignado un CVE actual (CVE-2015-0096). Por otra parte, ZDI ha confirmado que la nueva actualización corrige el problema encontrado por Heerklotz. Pero que va a examinar la nueva actualización para determinar si existe alguna nueva forma de saltarse la protección.
Más información:
una-al-dia (16/07/2010) Interesante (y peligroso) troyano que aprovecha un interesante (y peligroso) 0 day en Microsoft Windows
http://unaaldia.hispasec.com/2010/07/interesante-y-peligroso-troyano-que.html
una-al-dia (02/08/2010) Microsoft publica actualización fuera de ciclo para vulnerabilidad en los .lnk
http://unaaldia.hispasec.com/2010/08/microsoft-publica-actualizacion-fuera.html
una-al-dia (23/10/2010) Éxitos y fracasos de Stuxnet (I)
http://unaaldia.hispasec.com/2010/10/exitos-y-fracasos-de-stuxnet-i.html
una-al-dia (24/10/2010) Éxitos y fracasos de Stuxnet (II)
http://unaaldia.hispasec.com/2010/10/exitos-y-fracasos-de-stuxnet-ii.html
una-al-dia (25/10/2010) Éxitos y fracasos de Stuxnet (y III)
http://unaaldia.hispasec.com/2010/10/exitos-y-fracasos-de-stuxnet-y-iii.html
Full details on CVE-2015-0096 and the failed MS10-046 Stuxnet fix
http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Full-details-on-CVE-2015-0096-and-the-failed-MS10-046-Stuxnet/ba-p/6718459#.VQCi8uGDvd5
Microsoft Security Bulletin MS15-020 – Critical
Vulnerabilities in Microsoft Windows Could Allow Remote Code Execution (3041836)
https://technet.microsoft.com/library/security/MS15-020
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Interacciones del lector

Comentarios

  1. Creo que las tecnología nace para ser vulnerable y se crea en ocasiones (si no siempre) vulnerable. Que existan APT tan sofisticadas como Equation o en este caso Stuxnet, por nombrar a dos, me remite al desarrollador. Y me remite a los controles que ejercen los estados (EEUU) por decir algo. Sufrir una vulnerabilidad por políticas, como la que se ocasiono hace poco con SSL/TLS no es casualidad. En definitiva, el que tenga el control de la tecnología también puede controlar sus defectos. No se si queda claro. A buen entendedor pocas palabras. (Cuanto mas se, mas paranoico)

    Responder

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.