ESET, proveedor global de soluciones de seguridad proactiva contra malware, ha lanzado una alerta por el aumento de incidentes de seguridad relacionados con la vulnerabilidad de ‘día 0’ (conocida pero sin parche disponible por parte del fabricante) que afecta a todos los sistemas operativos Windows a partir de Windows XP, y que permite la ejecución del código malicioso simplemente visualizando los iconos de los archivos.
El laboratorio de análisis de amenazas de ESET ha detectado una segunda muestra de malware (que utiliza un certificado de otra empresa taiwanesa) que aprovecha esta vulnerabilidad, y que coincide con la primera en sus objetivos básicos: penetrar sistemas SCADA (utilizados para la gestión de infraestructuras críticas), robar información y ocultarse usando funciones de rootkit.
La incidencia de los ataques ha sido especialmente relevante en EEUU, donde se ha registrado el 58% del total, y en Irán, con un 30% del total. El ataque vuelve a despertar las tensiones persistentes entre ambos países sobre sus ambiciones por el control nuclear en Oriente Medio. Para el laboratorio de análisis de amenazas de ESET se trata de un más que probable ejemplo de espionaje industrial utilizando amenazas informáticas.
Más allá del problema de seguridad que supone acceder a uno de estos sistemas de gestión de infraestructuras críticas, lo preocupante para la mayoría de usuarios es que el exploit que se aprovecha de esta vulnerabilidad ya es público, por lo que los creadores de malware tan solo tienen que modificarlo para empezar a propagarlo de forma masiva. No hace falta ejecutar ningún archivo para infectar nuestro sistema y que solo visitando una unidad USB o carpeta compartida con un explorador de archivos con la capacidad de mostrar los iconos de acceso directo (.lnk) podemos infectarnos.
Desde el laboratorio de ESET en Ontinet.com se ha elaborado una guía rápida de defensa para mitigar los efectos de este ataque. Estas son las pautas básicas:
- Contar con un antivirus capaz de frenar amenazas que utilicen funciones de ocultación en el sistema mediante rootkits.
- Instalar la solución temporal de Microsoft para deshabilitar la funcionalidad de los archivos ‘.lnk’ y ‘.pif’ afectados por la vulnerabilidad, que puede encontrarse en http://support.microsoft.com/kb/2286198.
- Instalar la actualización de seguridad tan pronto como esta se encuentre disponible.
- Los usuarios de Windows XP SP2 y Windows 2000 deben tener en cuenta, además, que sus sistemas operativos se encuentran fuera de su ciclo de vida y no recibirán más actualizaciones de seguridad, por lo que tendrán que tener en cuenta que estarán desprotegidos ante esta y futuras amenazas.