En los últimos días se ha hecho pública la existencia de una vulnerabilidad ”crítica” en Windows que abre las puertas a un nuevo modo de ejecutar código cuando se introduce un dispositivo extraíble (bien sea una llave o disco USB, o cualquier otro dispositivo, incluyendo las tarjetas de memoria de móviles y cámaras de fotos) y que ya estaba siendo utilizada por algunos troyanos para expandirse por la red.
Pues bien, ayer se hicieron públicos todos los detalles de esta vulnerabilidad junto con una prueba de concepto, y la situación actual es bastante comprometida para Microsoft, ya que están afectadas todas las versiones actuales de Windows (desde el XP hasta el 7 con cualquier service pack, tanto en versiones de 32 como 64 bits, incluyendo también las versiones 2003 y 2008 para servidores).
Entrando en un poco más de detalle, esta vulnerabilidad permite la ejecución de código por el tratamiento incorrecto que se hace al icono asociado a los accesos directo de windows (archivos con extensión .lnk). Si el icono asociado no es un icono sino otro tipo de archivo (como por ejemplo una dll, que en general pueden contener también iconos, pero en este caso específicamente diseñada), se puede llegar a ejecutar código, evitando todas las restricciones introducidas tanto por Microsoft como por terceras partes para evitar la ejecución automática de código en unidades extraibles.
En este nuevo escenario ya no resulta suficiente deshabilitar la ejecución automática de unidades extraíbles, puesto que nos podemos infectar únicamente navegando hasta la carpeta que contenga el código malicioso, ya que el explorador de ficheros de windows, al intentar cargar el icono asociado al enlace, ejecutará el código malicioso, infectando nuestro equipo. Parece claro entonces que la solución pasa por deshabilitar la carga de iconos para los accesos directos, lo que produciría que todos los accesos directos del escritorio, menú inicio y barras de tareas pasarían a tener el icono por defecto, con la consiguiente pérdida de funcionalidad y comodidad de uso para el usuario final.
Esta modificación ya ha sido publicada ya por Microsoft como solución temporal mientras se realiza el parche de seguridad correspondiente, y se puede seguir en el siguiente enlace (en el apartado de Workarounds). Este es un duro varapalo a Microsoft, que tendrá que forzar la máquina para distribuir el parche correspondiente si no quiere ver mermada de nuevo su imagen debido a las oleadas de nuevos ataques que se prevé aparecerán en los próximos días aprovechando esta vulnerabilidad.
Para finalizar, no está de más repetir una vieja premisa, que hoy debemos volver a recordar y cumplir más que nunca: hay que desconfiar de las unidades extraíbles cuya procedencia no está específicamente comprobada, así como de cualquier equipo sobre el que no tengamos control antes de introducir alguno de nuestros discos USB en él, si no queremos acabar con un virus o un troyano sin darnos cuenta.
Solo para que veáis la rapidez con la que se puede llegar a propagar una vulnerabilidad de este tipo, aquí tenéis el exploit de Metasploit para esta vulnerabilidad, lista para utilizar.
http://www.metasploit.com/modules/exploit/windows/browser/ms10_xxx_windows_shell_lnk_execute