Trend Micro TrendLabs alerta de la existencia de un ataque criminal asociado a una vulnerabilidad de Microsoft que todavía no ha sido parcheada por la compañía y que deja expuestos a todos los usuarios de todas las versiones Microsoft Windows ante un potencial riesgo e infección.
Particularmente, el malware que primero aprovechó esta vulnerabilidad parecía ser muy específico, teniendo como foco los sistemas SCADA. Estos sistemas son habitualmente utilizados en el control de servicios públicos como la electricidad y el agua, así como en industrias a gran escala.
Esta vulnerabilidad supone que el usuario que quiera ver los contenidos de una carpeta que contiene un acceso directo, está en riesgo de sufrir una potencial infección –incluso sin que haga doble clic o vea el documento. Las capacidades de auto-arranque de los dispositivos USB es lo que hace que esta amenaza sea realmente peligrosa y dañina- pues basta con que se conecte una llave USB que automáticamente visualiza las carpetas para que el usuario quede infectado.
Mientras esta vulnerabilidad es más probable que sea explotada a través de unidades extraíbles, los usuarios deben estar alerta contra todos los accesos directos a archivos cuya autenticidad no puedan garantizar. Esta misma vulnerabilidad podría ser explotada a través de archivos contaminados compartidos o con cualquier cosa tan simple como un archivo malicioso comprimido, como puede ser el caso de un archivo zip.
En lugar de bajar un archivo AUTORUN.INF y una copia de sí mismo en los discos fijos y extraíbles, el malware utilizado en este ataque descarga un archivo .LNK que explota esta vulnerabilidad para bajar una nueva copia del malware (WORM_STUXNET.A) sobre otros sistemas.
De forma adicional, este gusano también descarga un rootkit que es utilizado para ocultar sus rutinas. Eso permite al gusano pasar inadvertido para el usuario, al mismo tiempo que dificulta los análisis a los expertos en seguridad.
Una forma de explotar esta vulnerabilidad se encuentra disponible públicamente, por lo que se espera que se produzcan más ataques. Los usuarios pueden encontrar asesoramiento a través de Microsoft Security Advisory 2286198 , incluyendo cómo desactivar los iconos de los accesos directos y desactivar el servicio WebClient hasta que el parche esté disponible.
