Stuxnet o la vulnerabilidad que Microsoft nunca corrigió.

Stuxnet, fue sin duda uno de los malware que más dio que hablar allá por el 2010. Supuestamente diseñado y financiado por Estados Unidos e Israel para atacar el plan nuclear Iraní, marcó un antes y un después en el mundo del malware. Acaparó titulares y representó el inicio de una época y de lo que ya conocemos como ciberarmas.

Uno de los aspectos más relevantes fue el uso de hasta cuatro vulnerabilidades desconocidas hasta aquel momento para ejecutar código en las máquinas infectadas. Una de ellas permitía la ejecución de código aunque el AutoPlay y AutoRun se encontrasen desactivados. Esto ayudaba a su máxima difusión a través de dispositivos USB y del propio explorador de Windows. Fue parcheada por Microsoft en agosto de 2010, en un boletín de emergencia… o eso pensábamos hasta ayer.

Sí, como suena. La vulnerabilidad no estaba corregida. Ha sido entre el conjunto de parches publicado el pasado martes cuando bajo la actualización MS15-020 se ha terminado de solucionar el fallo que nunca se había solucionado totalmente y que incomprensiblemente ha pasado desapercibido durante casi cinco años. Incluso ha sido heredada en sistemas operativos posteriores como Windows Server 2012 o Windows 8.1.

Ha sido Zero Day Initiative la que reportó el problema, detectado por el investigador Michael Heerklotz a primeros de enero.

"The patch failed. And for more than four years, all Windows systems have been vulnerable to exactly the same attack that Stuxnet used for initial deployment." ("El parche falló. Y durante más de cuatro años, todos los sistemas Windows han estado vulnerable a exactamente el mismo ataque que Stuxnet empleó en su despliegue inicial").

Como siempre, de acuerdo a su política reportó el fallo a Microsoft y ha ofrecido los detalles una vez que la firma de Redmon ha publicado una actualización. HP ha publicado un amplio y detallado informe técnico de como se producía el salto del problema, junto un vídeo que muestra como efectivamente se seguía reproduciendo la vulnerabilidad.

https://www.youtube.com/watch?v=yBJUytqBN70

Como la forma de explotar el problema es diferente a la original empleada por Stuxnet, Microsoft ha tratado el problema como si de una nueva vulnerabilidad se tratara, y le ha asignado un CVE actual (CVE-2015-0096). Por otra parte, ZDI ha confirmado que la nueva actualización corrige el problema encontrado por Heerklotz. Pero que va a examinar la nueva actualización para determinar si existe alguna nueva forma de saltarse la protección.

Más información:

una-al-dia (16/07/2010) Interesante (y peligroso) troyano que aprovecha un interesante (y peligroso) 0 day en Microsoft Windows

http://unaaldia.hispasec.com/2010/07/interesante-y-peligroso-troyano-que.html

una-al-dia (02/08/2010) Microsoft publica actualización fuera de ciclo para vulnerabilidad en los .lnk

http://unaaldia.hispasec.com/2010/08/microsoft-publica-actualizacion-fuera.html

una-al-dia (23/10/2010) Éxitos y fracasos de Stuxnet (I)

http://unaaldia.hispasec.com/2010/10/exitos-y-fracasos-de-stuxnet-i.html

una-al-dia (24/10/2010) Éxitos y fracasos de Stuxnet (II)

http://unaaldia.hispasec.com/2010/10/exitos-y-fracasos-de-stuxnet-ii.html

una-al-dia (25/10/2010) Éxitos y fracasos de Stuxnet (y III)

http://unaaldia.hispasec.com/2010/10/exitos-y-fracasos-de-stuxnet-y-iii.html

Full details on CVE-2015-0096 and the failed MS10-046 Stuxnet fix

http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Full-details-on-CVE-2015-0096-and-the-failed-MS10-046-Stuxnet/ba-p/6718459#.VQCi8uGDvd5

Microsoft Security Bulletin MS15-020 - Critical

Vulnerabilities in Microsoft Windows Could Allow Remote Code Execution (3041836)

https://technet.microsoft.com/library/security/MS15-020

_______________________________________________________
Tomado de: http://unaaldia.hispasec.com/2015/03/stuxnet-o-la-vulnerabilidad-que.html
Se respetan derechos de autor.