Vulnerabilidades de Stuxnet y Conficker combinadas en un nuevo ataque

Publicado en Ciencia y Tecnología, Noticias,


Tweet about this on TwitterShare on Google+2Share on Facebook0Share on LinkedIn0

Qué pasa cuando no se aplican los parches y de qué manera dos vulnerabilidades conocidas podrían afectar la seguridad de la empresa. En particular vamos a analizar cómo la combinación de una vulnerabilidad utilizada por Stuxnet (MS10-046) y otra implementada por Conficker (MS08-068) podría permitir el acceso remoto por parte de un atacante.

La primera de las vulnerabilidades, refiere a la explotación de los accesos directos de Windows (archivos con extensión LNK) y su fecha de publicación es del 2010. Sus efectos permiten que a través de un archivo LNK se pueda cargar y ejecutar una librería maliciosa (de manera local o remota) utilizando la ruta del ícono del acceso directo. Por otro lado, la segunda vulnerabilidad, con más de tres años de antigüedad y ampliamente utilizada por Conficker para propagarse a través de una red infectada permite mediante una falla de seguridad en la autenticación del protocolo SMB.

Combinando ambas vulnerabilidades un atacante podría obtener el acceso a un sistema remoto sin la necesidad de obtener las claves del usuario. Un acceso directo, alojado en las carpetas compartidas forzarían a la ejecución del exploit de Stuxnet para obtener una sesión válida en la máquina de la víctima. Este ataque podría ser utilizado tanto de manera interna en la red como de manera remota, pero para el segundo caso la complejidad aumenta un poco más. El resultado de este ataque le permite al atacante obtener las credenciales de la persona que cae en el engaño y carga el acceso directo, el mayor impacto se logra cuando un usuario con permisos de administrador de la red accede a la carpeta compartida y se ejecutan los exploit.

Hay ciertas puntos que deben ser tenidos en cuenta acerca de este enfoque, el primero de ellos remarca la importancia de mantener el sistema actualizado con todos los parches de seguridad instalados. Años después de la publicación del parche que mitiga la vulnerabilidad utilizada por Conficker, todavía continúa entre los códigos maliciosos con mayor índice de detección. Además, confirma que no se deben utilizar usuarios con permisos de administrador, y que tales privilegios no es una buena práctica.

Fuente

Califica esta entrada

Etiquetas: ,


Deja un comentario

Cuanto es 11 + 10 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos