Sandworm – Llueve sobre mojado

(N.D.E. Primero vamos con Sandworm. En un rato, les hablamos de POODLE)

Se acumulan las malas noticias para los expertos en seguridad (y al final, para todos los administradores de sistemas). Ayer, la compañía de seguridad Isight Partners publicaba un informe en que destapaba a grupo de ciberespionaje ruso denominado “Sandworm Team” [PDF] (también llamado Quedach por F-Secure), que llevaba desde 2009 atacando a objetivos de interés en Ucrania y Europa del Este.

La noticia fundamental (más allá de la atribución rusa, que hasta disponer de más detalles es más bien difusa y hace sospechar a los paranoicos) es el uso de este grupo de un nuevo 0-day que afecta a ficheros de Office y para el que, hasta hoy, no había parche.

La vulnerabilidad (CVE-2014-4114), que afecta a Windows Vista en adelante (incluidas las versiones de servidor), explotaba la capacidad de Office de incluir ficheros OLE (Object Linking and Embedding) de localizaciones externas. Todo empezaba con un correo electrónico (un ataque de spear-phishing en el que se adjuntaba un fichero .ppsx ppsx (un fichero de Powerpoint que al abrirlo se pone automáticamente en modo presentación, lo único diferente a un .pptx standard).

Al abrirlo, el fichero muestra un listado de simpatizantes prorrusos… y por debajo intenta descargarse dos ficheros de una carpeta SMB remota: slide1.gif y slide.inf. Los ficheros .inf se pueden usar para tareas de instalación de software (todos recordaréis los infames autorun.inf que tan “buenos” ratos nos hicieron pasar en los USB), y algunas de las cosas que suelen hacer es renombrar ficheros o añadir claves en el registro.

En este caso, el .inf renombra el .gif a un .exe (una variante del malware de acceso remoto BlackEnergy), y crea una clave en el registro para que se lance en el próximo reinicio. El motivo principal para no descargarse un .exe directamente es que muchos antivirus o los proxys web de las organizaciones los bloquean por defecto, de ahí esta “triquiñuela”.

Todo ello sin que el usuario advierta nada, ya que estas operaciones ocurren sigilosamente mientras se abre la presentación (para más información ver el excelente análisis de TrendMicro).

Esta vulnerabilidad es especialmente insidiosa ya que en realidad no se explota nada: no hay NOP sled, no hay shellcode ni ninguna otra técnica de intrusión sobre la que se suelen apoyar los análisis heurísticos. Tan solo un uso “creativo” de una funcionalidad. Así de sencillo, y así de eficaz.

Afortunadamente, el parche ya está disponible, por lo que la primera recomendación es actualizar urgentemente todos los sistemas afectados.

Una medida adicional, y que debería de estar por defecto en cualquier organización, es filtrar el tráfico SMB (puertos 139 y 445) tanto entrante como saliente. Si este tráfico lo tenemos bloqueado, no estaremos afectados por esta vulnerabilidad.

Una tercera (y algo radical) opción es deshabilitar el cliente web, como indica Microsoft en su artículo de Technet, aunque tiene efectos secundarios que deben ser tenidos en cuenta.

La moraleja de esta vulnerabilidad es clara y más si tenemos en cuenta la vulnerabilidad en SSLv3 (de la que os hablaremos en un rato) y los todavía cercanos ecos de ShellShock. Hay que estar alertas, y saber reaccionar con rapidez ante cualquier fallo de seguridad, mitigando el riesgo que corremos lo antes posible.

La seguridad informática va tomando un cariz cada vez más vertiginoso, en el que cada vez parece que es necesario actuar con mayor velocidad. Si bien la celeridad es prudente, se plantea también la obligación de planificar la seguridad: si tenemos una buena arquitectura de seguridad, hemos tomado las medidas para sentar unas buenas bases, y está “todo en su sitio” habremos un buen trabajo (y dormiremos sin duda mucho mejor).

Seguiremos siendo vulnerables a un 0-day, pero nuestra capacidad de respuesta será mayor y seremos capaces de atajar cualquier emergencia rápida y eficientemente.

Comments

  1. Hola Antonio.

    Interesante artículo, lo hemos comentado recientemente. Parece ser que principalmente se está explotando mediante archivos de presentación PPT dirigidos a objetivos de alto nivel.
    Parece ser que vamos un final de año movidito :)

    Saludos.