Microsoft confirmó ayer que la vulnerabilidad del núcleo de Windows aprovechada por el troyano Duqu se encuentra dentro del motor de análisis de TrueType, el mismo componente que fue parchado por última vez el mes pasado.
El exploit puede llegar en un documento de Microsoft Word, el cual podría ser enviado a un destino a través de un archivo adjunto de correo electrónico, y en cuanto se abra el documento se inicia el ataque.
Investigadores del Laboratorio de Criptografía y Seguridad de Sistema (CrySyS), ubicado en Hungría, analizaron un archivo de instalación de Duqu y descubrieron que utiliza una vulnerabilidad de Windows desconocida hasta entonces.
La solución temporal de Microsoft es unas pocas líneas de código que se ejecutan desde una ventana de comandos. Microsoft advirtió que instalar esta solución puede significar que algunas aplicaciones que se basan en la tecnología de fuentes incrustadas no se muestren correctamente. Esta solución se puede aplicar a los sistemas operativos Windows XP, Vista y 7, así como a diversos productos de Windows Server.
"Tenemos la intención de lanzar la actualización de seguridad en nuestro boletín de seguridad, aunque no estará listo para el lanzamiento de un boletín de este mes", dijo Jerry Bryant, gerente de grupo con el Grupo de Computación Confiable de Microsoft, en un blog el jueves.
Microsoft ha previsto una actualización de cuatro parches el 8 de noviembre.
De acuerdo con Symantec, que ha estado trabajando con el Laboratorio de Criptografía y Seguridad de Sistemas (Crysys) en la Universidad de Budapest, Duqu infecta a PCs con Windows mediante un documento de Word con formato incorrecto que se entrega a las víctimas como un archivo adjunto de correo electrónico. Cuando las víctimas abren el documento adjunto, el exploit se dispara, dando al instalador de Duqu el punto de apoyo que necesita para instalar el troyano.
Symantec y otras firmas de seguridad han clasificado a Duqu como un posible precursor de los próximos Stuxnet, el gusano ultra-sofisticado que el año pasado se dio a conocer como una herramienta de ataque dirigido contra el programa nuclear de Irán.
Como era de esperar, Microsoft clasificó la vulnerabilidad del kernel como un bug de elevación de privilegios, lo que significa que se puede utilizar para proporcionar a los atacantes los derechos necesarios en la PC objetivo para instalar y ejecutar software.
Microsoft liberó un parche para el mismo controlador de dispositivo en modo kernel "Win32k.sys" apenas el mes pasado, cuando arregló una falla en el motor de análisis de TrueType que podría permitir a piratas informáticos efectuar ataques de denegación de servicio para paralizar PCs con Windows.
Microsoft ha estado muy ocupado este año parchando piezas del kernel de Windows.
Hasta ahora, ha parchado 56 vulnerabilidades diferentes, con actualizaciones del kernel publicadas en febrero, abril, junio, julio, agosto y octubre. En abril, la compañía arregló cerca de 30 errores, y 15 más en julio.
Mientras llega una solución, Microsoft aconsejó a sus clientes defender sus sistemas bloqueando el acceso a "T2EMBED.DLL", la librería de enlace dinámico que se encarga de las fuentes TrueType incrustadas.
El bloqueo de T2EMBED.DLL, sin embargo, tiene efectos secundarios: Las aplicaciones que se basan en fuentes incrustadas –no solamente Word, sino también muchos otros programas, incluyendo los navegadores– no mostrarían el texto correctamente.
Microsoft dio a entender que era poco probable que se libere un parche de emergencia de esta vulnerabilidad a menos que el volumen de los ataques aumente de repente.
"El riesgo de los clientes sigue siendo bajo", dijo Bryant. "[Pero] seguiremos de cerca el panorama de las amenazas y notificaremos a los clientes si vemos algún indicio de mayor riesgo."
A pesar de que Microsoft resta importancia al riesgo, se han detectado infecciones en todo el mundo, incluyendo Francia, Holanda, Suiza, Ucrania, India, Irán, Sudán y Vietnam, de acuerdo con Symantec. Otros incidentes han ocurrido en Austria, Hungría, Indonesia y el Reino Unido.
Chester Wisniewski, asesor senior de seguridad de Sophos en Canadá, escribió en un blog de la compañía que se trata de “un error muy grave. Espero que Microsoft no pierda mucho tiempo en ofrecer otra solución", escribió.
De acuerdo con Costin G. Raiu, director de investigación y análisis de Kaspersky Lab, Microsoft podría tomar semanas para diseñar un parche. "Para arreglar la vulnerabilidad será necesario modificar el código del núcleo, que es algo muy delicado y riesgoso.
Es más probable que el parche esté listo el próximo mes, a menos que el bug use la ingeniería inversa y más malware comience a aprovecharse de la vulnerabilidad”, dijo.
Es más probable que el parche esté listo el próximo mes, a menos que el bug use la ingeniería inversa y más malware comience a aprovecharse de la vulnerabilidad”, dijo.
Duqu ha sido comparado con Stuxnet, aunque los informes han variado respecto a si las dos piezas de malware están relacionados.
Stuxnet ha demostrado un cierto nivel de sofisticación por parte de sus creadores, pues se instala en Windows mediante la explotación de cuatro vulnerabilidades de día cero –aquéllas que son explotados antes de que el vendedor sea consciente de ello y pueda desarrollar un parche.
Duqu también es visto como precursor, ya que la explotación de un problema a nivel de kernel le permite evadir mejor los softwares antivirus. Se cree que Duqu fue creado para ataques dirigidos contra las organizaciones.
Stuxnet ha demostrado un cierto nivel de sofisticación por parte de sus creadores, pues se instala en Windows mediante la explotación de cuatro vulnerabilidades de día cero –aquéllas que son explotados antes de que el vendedor sea consciente de ello y pueda desarrollar un parche.
Duqu también es visto como precursor, ya que la explotación de un problema a nivel de kernel le permite evadir mejor los softwares antivirus. Se cree que Duqu fue creado para ataques dirigidos contra las organizaciones.
Por Gregg Keizer y Jeremy Kirk, con información de Lucian Constantin