Español | English
rss facebook linkedin Twitter

Explotando la MS08-067

Cada vez el lapso de tiempo entre la aparición de una vulnerabilidad (o parche que la soluciona) y la aparición del malware que la explota, es menor. Un estudio de una universidad americana decía que el récord eran 30 minutos desde la aparición de un parche y la explotación de la vulnerabilidad que solucionaba.

En cualquier caso, ya hemos detectado el primer caso de malware que explota la vulnerabilidad recientemente parcheada por Microsoft MS08-067, en este caso mediante el gusano conocido como W32-Downadup o Win32/Conficker.A.

Tras la instalación en el sistema a través de un loader, el gusano se copia a sí mismo en el directorio del sistema de Windows en forma de DLL con un nombre aleatorio. Además se crea un nuevo servicio también con un nombre aleatorio que permite la ejecución de la DLL en cada inicio del sistema, creando a su vez una entrada en el registro donde se especifica la ruta que se ejecutará al inciarse el servicio.

La DLL realiza diversas peticiones para obtener la IP externa de la máquina infectada, dejando a la escucha un servidor web en un puerto aleatorio del equipo, enviando una URL del tipo http://IP_EXTERNA:puerto_aleatorio al intentar explotar nuevos equipos, y sirviendo desde aquí una copia del malware en su intento de propagación. De esta forma, no es necesario un servidor externo para expandirse, sino que cada máquina infectada ayuda en esta tarea.

Además realiza más peticiones HTTP: una de ellas intentando descargarse una base de datos de geolocalización de IPs; en otra, el gusano intenta descargarse y ejecutar un falso Anti-Spyware que tras realizar falsos escaneos proporcionará ciertos resultados indicando que es necesaria una limpieza del equipo e invitando al usuario a comprar la versión completa del producto.



También existen evidencias de que se realizan otras peticiones a ciertos dominios con el objetivo de obtener la fecha actual, generando nuevos dominios desde los que se descarga más malware.

Además de todo esto, el gusano coloca ciertos hooks en funciones conocidas del sistema, destacando las colocadas para controlar los movimientos del ratón y las pulsaciones del teclado en el ámbito del proceso iexplore.exe, que podrían usarse para el robo de credenciales e información sensible enviadas a través de Internet.

Como ya se ha comentado brevemente en párrafos anteriores, el gusano intenta propagarse a través de la explotación de la vulnerabilidad de RPC en los equipos vecinos. Para ello intenta infectar al segmento local donde se encuentra, probando la explotación en cada IP, una a una y de forma secuencial. En caso de tener éxito, el equipo infectado se decargará desde el servidor web instalado en la máquina propagadora una copia del binario malicioso, continúando así su infección masiva.

También se ha observado capacidad de propagarse buscando unidades compartidas e interacción mediante uPnP con los routers de salida (generalmente ADSL), aunque todavía no se ha podido analizar en profundidad este comportamiento.

En conclusión, este gusano está empezando a hacer estragos especialmente en redes corporativas, gracias a la explotación de una vulnerabilidad reciente y que muy posiblemente esté sin parchear en muchos equipos. A la hora de prevenir este ataque basta con aplicar el parche que da título a este post, que se puede descargar desde:

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Vicente Díaz

S21sec e-crime


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login