Sophos, compañía de seguridad TI y protección de datos, ha publicado hoy una herramienta gratuita frente a la vulnerabilidad día-cero en Windows y que está siendo explotada de manera muy activa para infectar ordenadores.
La herramienta Sophos Windows Shortcut Exploit Protection ofrece protección frente a dicha vulnerabilidad con un alto perfil, y que hasta ahora permite a los hackers maliciosos explotar un error existente en todas las versiones de Windows que gestiona archivos de acceso directo .LNK.
En este sentido, si Windows sólo muestra el icono de un archivo de acceso directo explotado, el código malicioso puede ser ejecutado – sin requerir ninguna interacción por parte del usuario.
¿Qué es Windows Shortcut Exploit?
Windows Shortcut Exploit, conocido CPLINK, es una vulnerabilidad Día-Cero presente en todas las versiones Windows que permite que corra un archivo DLL malicioso dentro de los links de acceso directos de Windows, conocidos como archivos .lnk, incluso pueden estar embebidos en una página web u ocultos en documentos.
El exploit trabaja cuando se abre un dispositivo o se conecta a la red, infectándose inmediatamente. No es necesario hacer clic en nada para que el exploit se ponga a funcionar, incluso aunque se tenga desactivado el AutoPlay o el AutoRun.
El grupo de investigadores de SophosLabs ya vio primero este exploit trabajando primero a través del rootkit W32/Stuxnet-B, cuyo objetivo era los sistemas SCADA de Siemens para descubrir la contraseña del sistema por defecto. Más tarde, Stuxnet sólo afectó a máquinas de Windows con llaves USB infectadas y que eran conectadas. Ahora Windows Shortcut Exploit puede, en general, trabajar con archivos compartidos así como WebDay.
Solución gratuita
Ante este panorama, la herramienta gratuita ofrecida por Sophos, disponible en http://www.sophos.com/shortcut, y que puede instalarse paralelamente al Antivirus existente, intercepta cualquier archivo de acceso directo que contenga el exploit, avisándole del código ejecutable que amenaza con descargarse, consiguiendo detener ataques maliciosos que utilizan la vulnerabilidad si no están en un disco local, como puede ser un dispositivo USB.
«Hasta ahora hemos visto los gusanos Stuxnet y Dulkis, así como el troyano Chymin, explotando este tipo de vulnerabilidades para expandir e infectar los sistemas de los ordenadores. Stuxnet ya salió en los titulares porque se centró el los sistemas SCADA de Siemens que protegen infraestructuras críticas tales como centrales eléctricas, pero en este caso hay que advertir a todos los usuarios” afirma Graham Cluley, Consultor de Tecnología de Sophos. “Además, los detalles de cómo explotar este agujero de seguridad están siendo publicados en la red, por lo que para los ciberdelincuentes esto es un juego de niños, aprovechando la oportunidad para crear sus propios ataques”
Sophos ha publicado un vídeo en YouTube, en el que se demuestra cómo la herramienta intercepta estos ataques, el cual, tanto periodistas como blogeros pueden incluir en sus webs: http://www.youtube.com/watch?v=Gucn5xWZ1m8
«Nadie sabe cuando Microsoft lanzará un parche apropiado para este agujero de seguridad tan crítico y la solución actual deja los sistemas casi inoperativos” continua Cluley. “La herramienta gratuita de Sophos puede ser instalada paralelamente junto con el software antivirus existente, ofreciendo una protección general frente a este exploit. A diferencia de la solución ofrecida por Microsoft, no borra todos los accesos directos en el Ménú de Inicio de Windows, lo que será mucho más fácil para el usuario”