El martes pasado Microsoft publicó siete actualizaciones de seguridad, donde cuatro de ellas fueron categorizadas cómo críticas. Aquella correspondiente a MS13-027 fue clasificada como importante debido a que requiere acceso físico al sistema de la víctima.
¿Qué alcance posee la vulnerabilidad?
La vulnerabilidad permite saltear cualquier tipo de control a través de la conexión de un dispositivo USB en un puerto de la computadora. Esta vulnerabilidad es explotable aún cuando la funcionalidad de autorun se encuentre deshabilitada o incluso si la pantalla se encuentra bloqueada.
Windows detecta la presencia de un nuevo dispositivo USB debido a las cambios que existen en el voltaje. De esta forma, un atacante podría explotar esta vulnerabilidad a través de un formateo especial sobre el dispositivo. Cuando el USB es conectado en la computadora, se carga el descriptor que fue especialmente modificado y de esa forma se podría ejecutar código arbitrario en el entorno del kernel.
En este caso, no se requiere interacción por parte del usuario debido a que la carga se produce de forma automática. Además, la vulnerabilidad también puede explotarse cuando la sesión está bloqueada, ya que la carga de este tipo de dispositivos ocurre de igual forma.
Cabe destacar que es necesario que el atacante tenga acceso físico al sistema para poder tomar ventaja de esta falla. Sin embargo, es posible que se combine este tipo de ataque con otros, que en un período posterior puedan llevarse a cabo de forma remota.
Anteriormente hemos visto amenazas como Dorkbot que infectaba dispositivos USB y se propagaba en redes sociales. Incluso hemos hablado de dispositivos USB como karma de seguridad para Microsoft. Sin embargo, es importante aclarar que la naturaleza de las amenazas que se acostumbraban a ver sobre este tipo de dispositivos dista de la vulnerabilidad que hoy es tópico de esta publicación.
Es importante mantener el sistema actualizado, sobre todo considerando estos parches críticos que solucionan problemas de seguridad de alta criticidad. Remitiéndose a un ambiente corporativo, la gestión de actualizaciones forma un pilar fundamental en la seguridad, ya que siempre que se exista un eslabón o nodo débil dentro de la cadena de seguridad, posiblemente todo el escenario quede expuesto a riesgos mayores.
Desde ESET Latinoamérica recomendamos la lectura sobre las 5 amenazas más propagadas por dispositivos de almacenamiento extraíbles a fin de conocer sobre los riesgos de los mencionados dispositivos. Asimismo, conocer nuestros 10 consejos para no infectarse será de ayuda para incorporar buenas prácticas.
Fernando Catoira
Analista de Seguridad