Kaspersky Lab, líder en el desarrollo de soluciones de seguridad informática, anunció el éxito de su cooperación con Microsoft para combatir una serie de vulnerabilidades en Microsoft Windows.
Al ser detectada la vulnerabilidad, se clasificó como tipo Día Cero y ha sido usada por el conocido gusano Stuxnet. Este gusano, el Worm.Win32.Stuxnet, es excepcional dado que es una herramienta de espionaje industrial: fue diseñado para generar acceso al sistema operativo de Siemens WinCC, cuya función es recolectar datos y monitorear la producción.
Desde que surgió en julio del 2010, los especialistas en seguridad informática han monitoreado de cerca el gusano Win32.Stuxnet. “Stuxnet fue el primer programa malicioso que pudo explotar hasta cuatro vulnerabilidades simultáneamente. Esto hace que Stuxnet sea verdaderamente único: es la primera amenaza que hemos visto que contiene tantas sorpresas en un solo paquete. Esto hubiese sido un tesoro para los hackers si no lo hubiéramos detectado. Stuxnet también usa los certificados digitales de Realtek y Jmicron – y fue diseñado para robar datos almacenados en Simatic WinCC SCADA. Todo esto hace que la amenaza sea verdaderamente sin precedentes. Tenemos que resaltar que estos programadores maliciosos han demostrado unas habilidades verdaderamente extraordinarias de programación.”
Para Alexander Gostev, Jefe de Seguridad para Kaspersky Lab, “Stuxnet fue el primer programa malicioso que pudo explotar hasta cuatro vulnerabilidades simultáneamente. Esto hace que Stuxnet sea verdaderamente único: es la primera amenaza que hemos visto que contiene tantas sorpresas en un solo paquete. Esto hubiese sido un tesoro para los hackers si no lo hubiéramos detectado. Stuxnet también usa los certificados digitales de Realtek y Jmicron – y fue diseñado para robar datos almacenados en Simatic WinCC SCADA. Todo esto hace que la amenaza sea verdaderamente sin precedentes. Tenemos que resaltar que estos programadores maliciosos han demostrado unas habilidades verdaderamente extraordinarias de programación.”
Los expertos de Kaspersky Lab han investigado a fondo las capacidades de Stuxnet y han descubierto que, además de la vulnerabilidad al procesar archivos de tipo LNK y PIF (archivos de acceso directo) que fue detectada originalmente, también emplea otras cuatro vulnerabilidades en Windows.
Un ejemplo es el MS08-067, el cual fue aprovechado por el gusano infame Kido (Conficker) a principios del 2009. Las otras tres vulnerabilidades no se conocían previamente y existen en las versiones actuales de Windows.
Además de MS08-067, Stuxnet también aprovecha otra vulnerabilidad para propagarse. Ésta se encuentra en el servicio de fila de impresión de Windows (Windows Print Spooler) el cual puede mandar un código malicioso a una computadora remota donde se ejecuta dicho código. En virtud de las características de la vulnerabilidad, el virus puede infiltrarse a otras computadoras con la ayuda de impresoras o computadoras de acceso compartido. Una vez que el virus penetra una computadora conectada a una red, Stuxnet intenta infiltrarse a otras computadoras.
Tan pronto los expertos de Kaspersky Lab detectaron esta vulnerabilidad, lo reportaron a Microsoft, quienes luego lo analizaron por su cuenta y concordaron con los hallazgos de Kaspersky Lab. La vulnerabilidad fue clasificada como de implantación en el servicio de fila de impresión y fue clasificada como ‘crítica’. Microsoft inmediatamente empezó a trabajar para cerrar esta brecha y luego publicó el parche MS10-061 el 14 de septiembre de 2010.
Los expertos de Kaspersky Lab detectaron nuevamente otra vulnerabilidad Día Cero en el código Stuxnet. Este fue clasificado como una vulnerabilidad ‘Elevación de Privilegio’ (EoP por sus siglas en inglés) que podría ser utilizado por el gusano para lograr acceso completo a una computadora infectada. Una vulnerabilidad parecida de clase EoP fue detectada por los expertos de Microsoft. Ambas serán corregidas en las futuras actualizaciones de seguridad en los sistemas operativos Windows.
Alexander Gostev, Jefe de Seguridad para Kaspersky Lab, jugó un papel importante y activo en la identificación de esta nueva amenaza y cooperó de cerca con Microsoft para resolver el problema. Alexander luego publicó un blogspot informativo al respecto. Los datos recolectados durante el análisis de Stuxnet, incluyendo los detalles sobre cómo las vulnerabilidades se pudieron explotar, se presentarán en la conferencia Virus Bulletin en Canadá en septiembre de 2010.
Todos los productos de Kaspersky Lab son capaces de detector y neutralizar exitosamente el gusano Worm.Win32.Stuxnet.
