El pasado viernes Microsoft alertó que está investigando ataques limitados y dirigidos que aprovechan una vulnerabilidad en el intérprete de comandos de Windows (Windows Shell), un componente de Microsoft Windows. La vulnerabilidad 0day, que afecta a todos los sistemas Windows, se produce por el modo en que se interpretan los acceso directos, los típicos archivos del escritorio o del menú de Inicio que enlazan con los archivos y programas reales y que tienen extensión ".lnk".

Según el experto de Sophos Chester Wisniewski, los atacantes pueden tomar el control del PC del usuario tan sólo con que este visualice el contenido de un disco USB que incluya un archivo .lnk manipulado. Incluso cuando la Reproducción Automática (Autorun) está deshabilitada, recordar que esta funcionalidad inicia automáticamente archivos al introducir un USB en el PC y ya ha sido utilizada con éxito en anteriores campañas fraudulentas. Los ataques también se pueden llevar a cabo distribuyendo los accesos directos a través de redes compartidas y recursos remotos con WebDAV.

En el aviso Microsoft ofrece medidas de protección temporales como deshabilitar los enlaces directos y el servicio WebClient, ambas medidas requieren editar el registro. A falta de otra valoración por parte de la empresa el parche definitivo se espera para su próximo día de actualizaciones, segundo martes de mes, 10 de Agosto.

Destacar que tanto Windows 2000 como Windows XP SP2 no serán actualizados al haber finalizado su soporte. Para no trabajar con un sistema completamente vulnerable se recomienda a los usuarios de estos sistemas que migren a otro sistema que se actualice para hacer frente a las amenazas emergentes. En el caso de Windows XP SP2 es posible actualizar a Windows XP SP3.

Desde el blog de Microsoft comunican que la vulnerabilidad está siendo utilizada en conjunto con el malware Stuxnet.A, troyano que descarga nuevo código malicioso, incluyendo un rootkit que oculta las evidencias de los ataques. Más en concreto Brian Krebs informó que la carga del troyano estaba dirigida específicamente contra sistemas SCADA de Siemens. Los sistemas SCADA son los responsable de controlar muchas de las infraestructuras criticas de un país.

Otro aspecto significativo del ataque es que el troyano infecta el sistema instalando controladores firmados digitalmente por una empresa legítima, Realtek, consiguiendo engañar al sistema para que permita su instalación. Microsoft junto con Verisign han comenzado a revocar en sus sistemas tales certificados por lo que los equipos que hayan actualizado su lista de certificados mediante windowsupdate.com no serán afectados por este malware. Hasta el momento no hay una explicación clara de cómo los atacantes han conseguido firmar los controladores con la clave privada de otra compañía, aunque empiezan a aparecer las primeras pistas.

Aunque actualmente este ataque concreto parezca enfocado al espionaje industrial es una cuestión de tiempo que también sea empleado para atacar cualquier equipo Windows vulnerable, con el objetivo de formar una red zombi al uso desde la que realizar otras actividades maliciosas: envío de spam, captura de credenciales, propagación de malware, etc.