Según un recién publicado aviso de seguridad de Microsoft (Microsoft Security Advisory 899588), la compañía responde a las inquietudes causadas por la aparición en Internet, de código capaz de explotar la vulnerabilidad reportada en el boletín de seguridad MS05-039 recientemente publicado.
Dicho parche, resuelve una vulnerabilidad en el componente Plug and Play (PnP), la cuál puede ser explotada para ejecutar código de forma remota, o para elevar los privilegios del atacante.
El 14 de agosto se confirmó la aparición del que sería el primer gusano que se vale de esta vulnerabilidad, el Win32/Zotob. Detectado como una variante del Mytob por NOD32 sin necesidad de actualización de firmas, el gusano sin embargo, solo constituye un peligro inmediato para los usuarios de Windows 2000 que no hayan instalado el parche mencionado, o que no posean un antivirus que lo detecte.
La vulnerabilidad utilizada por el gusano, solo puede ser explotada en forma remota con la ejecución de código, en equipos con Windows 2000 que no hayan sido actualizados con el parche MS05-039.
En equipos con Windows XP y XP con Service Pack 1, solo podrían explotarla en forma remota, usuarios debidamente autenticados, mientras que los usuarios con Windows XP Service Pack 2 y Windows Server 2003, no pueden ser afectados de forma remota, por lo que este gusano no los afecta directamente.
En Windows XP SP2 y Windows 2003, esta vulnerabilidad solo puede ser explotada de forma local, con la única consecuencia de elevación de privilegios. De todos modos, Microsoft advierte que puede ser posible que un equipo con XP o Server 2003, pudiera llegar a ser infectado por la interacción local del usuario o por otro malware instalado previamente en el sistema.
El gusano Zotob, al instalarse en un equipo vulnerable, abre varios hilos de ejecución, para examinar direcciones IP al azar, en busca de equipos vulnerables. Esta búsqueda la hace por el puerto TCP 445.
Si el ataque tiene éxito, se provoca un desbordamiento de búfer en el equipo afectado, y el gusano ejecuta un shell (cmd.exe) en el puerto TCP 8888. Por este puerto, envía al equipo remoto los comandos para descargar su propio código y luego ejecutarse.
Las ordenes permiten lanzar el comando FTP.EXE, dando como resultado que el equipo accedido descargue una copia del malware utilizando un servidor FTP activo en el puerto TCP 33333, que el gusano crea en el equipo infectado.
Al mismo tiempo que el gusano Zotob, se reportaron variantes del Win32/Rbot, también detectadas sin actualización de firmas por el antivirus NOD32. Este troyano utiliza conexiones a servidores de IRC para recibir instrucciones de un atacante remoto. Mientras estas ordenes no se envíen, el troyano no hará nada.
Sin embargo, esta versión del Rbot ha sido modificada para propagarse utilizando la misma vulnerabilidad antes comentada en el componente Plug and Play. Solo se ejecuta en forma remota, en equipos con Windows 2000 sin la actualización MS05-039.
En total, existen múltiples variantes tanto del Rbot como del Zotob, aunque la mayoría consiste en el mismo código empaquetado con diferentes compresores de ejecutables.
Todo hace suponer que el autor del Zotob y de las nuevas variantes del Rbot, es la misma persona, ya que el código del exploit es similar en ambos.
Un texto puesto por el autor en el código del Zotob, amenaza a las compañías antivirus que lo detecten.
Además de intentar propagarse, el Zotob modifica el archivo HOSTS de Windows, para evitar que el usuario afectado se conecte a los sitios de algunos fabricantes de antivirus.
Se recomienda a todos los usuarios de Windows XP, Windows Server 2003, y sobre todo Windows 2000, a actualizar sus equipos con el parche mencionado.
* Relacionados:
Microsoft publica 6 boletines de seguridad en Agosto
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=572
|
