Hace algunos días compartimos con ustedes información acerca de ciclo de vida una vulnerabilidad, de qué manera prevenirse ante este tipo de situaciones y cómo dar una respuesta eficiente. Sin embargo, hoy vamos a hablar acerca de la otra cara de la moneda: qué pasa cuando no se aplican los parches y de qué manera dos vulnerabilidades conocidas podrían afectar la seguridad de la empresa. En particular vamos a analizar cómo la combinación de una vulnerabilidad utilizada por Stuxnet (MS10-046) y otra implementada por Conficker (MS08-068) podría permitir el acceso remoto por parte de un atacante.
La primera de las vulnerabilidades, refiere a la explotación de los accesos directos de Windows (archivos con extensión LNK) y su fecha de publicación es del 2010. Sus efectos permiten que a través de un archivo LNK se pueda cargar y ejecutar una librería maliciosa (de manera local o remota) utilizando la ruta del ícono del acceso directo. Por otro lado, la segunda vulnerara, con más de tres años de antigüedad y ampliamente utilizada por Conficker para propagarse a través de una red infectada permite mediante una falla de seguridad en la autenticación del protocolo SMB.
Combinando ambas vulnerabilidades un atacante podría obtener el acceso a un sistema remoto sin la necesidad de obtener las claves del usuario. Un acceso directo, alojado en las carpetas compartidas forzarían a la ejecución del exploit de Stuxnet para obtener una sesión válida en la máquina de la víctima. Este ataque podría ser utilizado tanto de manera interna en la red como de manera remota, pero para el segundo caso la complejidad aumenta un poco más. El resultado de este ataque le permite al atacante obtener las credenciales de la persona que cae en el engaño y carga el acceso directo, el mayor impacto se logra cuando un usuario con permisos de administrador de la red accede a la carpeta compartida y se ejecutan los exploit.
Hay ciertas puntos que deben ser tenidos en cuenta acerca de este enfoque, el primero de ellos remarca la importancia de mantener el sistema actualizado con todos los parches de seguridad instalados. Años después de la publicación del parche que mitiga la vulnerabilidad utilizada por Conficker, todavía continúa entre los códigos maliciosos con mayor índice de detección. Además, confirma que no se deben utilizar usuarios con permisos de administrador, y que tales privilegios no es una buena práctica. Para conocer más acerca de las buenas prácticas para la seguridad empresarial les recomendamos leer los 10 mandamientos de la seguridad de la información en la empresa.
Pablo Ramos
Especialista en Awareness & Research