Microsoft ha detectado ataques sobre una vulnerabilidad crítica en Windows Shell, y que afecta a todas las versiones de Windows XP, a Server 2003 y 2008, a Vista y a 7, tanto en versiones de 32 como de 64 bits, service packs incluidos. Esto la convierte en la primera vulnerabilidad grave y explotable que no será parcheada en Windows XP SP2, tras la retirada del soporte tanto para esta versión como para Vista RTM.
Si por el motivo que sea no has querido o no has podido instalar el SP3 en Windows XP (o el SP1 o SP2 en Vista), que sepas que tienes un sistema que sólo podrás proteger mediante trucos bastante incómodos. Aunque no aparece en la lista de Microsoft, hay que dar por hecho que Windows 2000 es vulnerable y no recibirá parche, al eliminarse su soporte por completo la semana pasada.
Aunque en la nota oficial afirman que la vulnerabilidad se está aprovechando usando pendrives infectados, también es posible explotarla a través de archivos compartidos por red o WebDAV.
El bug se encuentra en la gestión de los accesos directos (“shortcuts”) por parte de Windows, en concreto de los archivos donde se almacena la información relativa a dicho acceso (con extensión “.lnk”). Aparentemente, Windows comete un error al interpretar estos archivos, de tal forma que tan sólo hace falta que el usuario vea el contenido de la carpeta donde se almacena el acceso directo malicioso para aprovechar la vulnerabilidad. Ni siquiera es necesario ejecutar el acceso directo.
Debido a esto, tener desactivado el “autorun” y el “autoplay” no protege al usuario. Además, un rootkit que aproveche este fallo también evita todos los mecanismos de seguridad incluidos en Vista y 7, incluido el UAC (User Account Control).
Con la velocidad de reacción que le caracteriza, Microsoft aún no ha anunciado cuando resolverá el fallo, que suponemos no llegará hasta la próxima “fiesta del parche”, que toca el 10 de Agosto.
Mientras tanto, hay soluciones provisionales. Hay que evitar que Windows muestre los accesos directos, y también hay que desactivar el servicio WebClient. En ambos casos hay que trastear en sitios donde el usuario medio no debería ni mirar, con el engorro que supone además no disponer de accesos directos… teniendo que acudir directamente al ejecutable para abrir el programa que sea.
Gracias a Lesan por el chivatazo.
Vía | PC World
Sitio oficial | Microsoft
En Tecnología Pyme | Problema de seguridad con unidades extraíbles
En Genbeta | Microsoft dejará de dar soporte para Windows XP SP2 y Vista RTM
Comentarios
Era de esperarse, que nadie se extrañe que esto pasaría tarde que temprano.
No me ha terminado de quedar clara una cosa. ¿Windows XP SP3 también queda afectado o se salva?
Lo digo porque si es así veo que voy a tener que cambiarle el OS a mi estimada madre, con todo lo que le supondrán los cambios... :(
XP SP3 está también afectado, como el resto de versiones de Windows. La diferencia es que cuando Microsoft se digne a lanzar el parche, SP3 tendrá el suyo.
A bueno, entonces me quedo más tránquilo sabiendo que simplemente tengo que esperar y parchearlo cuando salga. Además ahora mi madre está de vacaciones así que no encenderá el ordenador, más seguro imposible :D
Gracias por la aclaración.
en ocasiones como esta, me alegra saber que tengo una notebook con windows original...
tu dices: "Si por el motivo que sea no has querido o no has podido instalar el SP3 en Windows XP (o el SP1 o SP2 en Vista), que sepas que tienes un sistema que sólo podrás proteger mediante trucos bastante incómodos."
y si en algún momento decido formatear mi pc que ya traía de fábrica windows vista (sin ningún service pack alguno) qué hago? me quedaré sin poder instalar tanto el SP1 como el SP2?. el equipo lo compré hace dos años, espero que yo haya entendido mal, gracias.
¿Por qué? o_O
Se que siempre tener el "item" original sea una camisa o un software, es mejor...
Pero, ¿por qué te alegras de tenerlo original en este caso en especifico?.
No significa mucho que sea original, puede que sea un XP Original con SP1 o SP2.. Pero Ahi de nada te serviria la licencia si no lo actualizas a XP SP3, Vista SP1 o 2, o Win7 :/
Ha de ser porque al poseer un equipo con software original te evitas la fatiga que implica el proceso de ir haciendo las mil y unas fixeadas para validar-Quitar estrellas-haSer oriJinal el Windows.
-- editado por última vez a las 04:16
como no tengo muchas ganas de pensar pq tengo mucho sueño, te respondo simplemente que es pq es todo mas facil
actualizacion automatica
despreocupacion
y demas
otra cosa aparte del coment de arriba, que con win original puedo tener Microsoft Security Essentials
otra cosa es lo de problemas y soluciones, la ayuda actualizada, los programas de mejora de experiencia del usuario, los comentarios al grupo de ayuda, windows defender
es decir k yo k tengo el windows 7 professional cn la beta del sp1 ando jodido no???
la beta del SP1 también está afectada, sí. Supongo que también tendrá el parche correspondiente.
Hombre está claro que en Windows 7 lo parchearán está claro... sino la cosa tendría gracia xD
por fin una ayuda a combatir el conficker (era este, o era otro virus...?)
-- editado por última vez a las 11:43
La vulneravilidad del conficker fue parcheada incluso antes de que salga el mismo conficker, sin embargo como mucha gente se olvida del windows update...
PD: Esta es otra y más peligrosa vulneravilidad.
Salu2.
oh vaya, pensaba que... como es un virus que se transmitia por pendraifs...D:
Esta vulnerabilidad es grave de cojones, y la propagación puede ser brutalmente rapida.
- No es necesario ejecutar
- Funciona en todos los Windows, incluido los Servers
- Se puede camuflar como cualquier cosa
- No hay prevista una solución hasta dentro de varias semanas
Menos mal que suelo usar casi siempre Linux y OSX ^^U
-- editado por última vez a las 13:08
No creo que esperen varias semanas en lanzar un parche. En mi opinión sería contraproducente y más si también afecta a entornos de servidores.
Sería jugársela mucho, aunque claro, con Microsoft cualquier cosa es posible...
Siempre nos quedara Linux
12 Comentario moderado
0Tienes razón, excepto en dos cosas:
1)Hasta ahora solo se ha detectado un prorama maligno (malware) que aprovecha esta vulnerabilidad, afortunadamente para la mayoría, al parecer está dirigido a objetivos específicos de algunas grandes compañías.
2) los virus a los que llamas indetectables, si son detectables, aunque sea muy difícil o directamente imposible detectarlos por el método tradicional de la base de datos, muchos de estos virus caen por el análisis del compotramiento, también llamado heurística, defensa proactiva, o como lo quiera llamar el fabricante.
Salu2.
No lo creo ya Windows a tenido estos errores enormes de seguridad, pantallazos azules, problemas de rendimiento etc, pero muchos prefieren lidiar con estos problemas, que siempre se han resuelto de una forma u otra, a tener que lidiar con los nuevos problemas que traeran las alternativas. Que para nada estan libres de este tipo de errores también, solo que casi nadie los nota ;)
-- editado por última vez a las 17:54
Maestro!, queria decirlo lo mismo, pero te adelantaste ;).
Primero nos pintas el apocalipsis con botnets, millones de PC infectadas para terminar diciendo que los virus ya no son como antes y no pasa nada.
Además, parece que la defensa proactiva o basada en comportamiento sospechoso no existe en tu mundo.
Como parece que ha quedado claro, la razón porque es indetectable por ahora es que ha usado un certificado firmado digitalmente, apenas lo retiren el malware quedará inutilizado.
26 Comentario moderado
-15Han aparecido otras variantes, pero precisamente porque ya han sido identificadas serán seguramente neutralizadas. Posiblemente la próxima actualización del antivirus (cualquiera que usemos) ya traerá una solución.
Pero tomando en cuenta que comienzas diciendo que deseas que todos los Windows fallen me imagino que te aferrarás a cualquier esperanza, aunque sea echarles hurras a los antivirus piratas, para agrandar este problema.
Como el programa de Cuatro: 21 DIAS (bueno, 22) sin accesos directos (versión XP-tan, claro)
- Dia 1: Esto no es tan malo, realmente se pasa bien...solo es acostumbrarse. - Dia 13: DADME UN ACEESO, EL ARCHIVO ORIGINAL ESTA A 200 KM!! - Dia 23, llegada del parche: *muerta* *la reaniman* AL FIN, VEN CON MAMA PARCHECITO
Yo lo veo de lo más normal del mundo ¿si el SP3 es el ultimo, porque iban a sacar una actualización para un SP2? al que no se haya actualizado a SP3 dudo que le importe esta actualización (u otras actualizaciones), lo que le pase será su problema.
-- editado por última vez a las 18:22
La noticia fue actualizada:
Hasta ahora los antivirus y otros programas antimalware bloqueaban las infecciones que se transmitían por pendrivers apenas se conectaban y también cuando accedías a su contenido manualmente. El problema de este incidente es que al usar una driver certificado pasa como un archivo legítimo y por eso elude los sistemas de seguridad de Windows y de los propios programas de seguridad instalados.
Por lo tanto, lo interesante de esta actualización de INTECO es leer que quienes actualicen su lista de certificados mediante Windows Update ya no serán vulnerables a este malware. También podremos esperar que a no tardar las empresas de antivirus y antimalware seguramente colocaran estos certificados comprometidos en sus base de detección, porque según puede leerse ya han sido plenamente identificados.
Los creadores de malware no descansan y están a la caza de cualquier oportunidad por pequeña que sea, cuando no pueden con UAC tratan de entrar por el navegador y si no por algún complemento o plugin, y en este caso han llegado a usar el sistema de certificación digital de drivers para sus propios fines.
-- editado por última vez a las 18:25
Olvidé colocar el enlace a INTECO, de donde proviene la actualización de la noticia: Vulnerabilidad en el intérprete de comandos de Windows.
Para todos aquellos que se aferren a instalar esta cosa después del 2014, esto es lo que les espera.
¿Y los antivirus para qué están? ¿Es que no se actualizan?
Hablando de lo que hacen las empresas antivirus. Definitivamente no están de brazos cruzados. En el blog de ESET reportan que han encontrado un segundo controlador usado por este malware, igualmente firmado digitalmente pero comprometido como el de Realtek, esta vez se trata de uno perteneciente a la empresa JMicron Technology Corp.
Lo interesante del asunto es que revelaría algo sobre los que están detrás de este malware: que cuentan con los medios para hacerse, hasta ahora, con dos controladores legítimos o para comprarlos a quienes los robaron. Se demuestra una vez más que la creación de malware es un negocio donde se mueve mucho dinero, y con dinero estos sinvergüenzas pueden abrir muchas puertas.
"el engorro que supone además no disponer de accesos directos… teniendo que acudir directamente al ejecutable para abrir el programa que sea."
ERROR, no se pierde la funcionalidad de acceso directo, simplemente no se "leen" automáticamente (no se carga el icono, etc). Más atención en lo que se escribe, testear o que escriban los que saben.
Salu2.
a qué te refieres?:
"Mientras tanto, hay soluciones provisionales:
1.- Hay que evitar que Windows muestre los accesos directos, y también hay que
2.- desactivar el servicio WebClient. En ambos casos hay que trastear en sitios donde el usuario medio no debería ni mirar"
hasta aquí interpreto que, después de eliminar los accesos directos, resulta frustrante acudir a la carpeta donde esta instalado el programa para ejecutarlo desde ahí, lo cual plantea en las siguientes líneas:
"con el engorro que supone además no disponer de accesos directos… teniendo que acudir directamente al ejecutable para abrir el programa que sea."
no sé si me perdí de algo o tú malinterpretaste las líneas.
Yo lo interpreto bien, pero si se aplica la solución de Microsoft no hay necesidad de acudir a la carpeta donde estan instalados los programas.
Los accesos directos SIGUEN FUNCIONANDO, salvo que no son leídos cargados por el sistema.
Si el usuario hace doble clic en cualquier acceso directo, el acceso directo funciona como siempre.
Por lo tanto, lo que dicen en el post está mal... da a entender que los accesos directos quedan inactivos :S
De que solución hablas? El post dice que aún no la hay: Con la velocidad de reacción que le caracteriza, Microsoft aún no ha anunciado cuando resolverá el fallo, que suponemos no llegará hasta la próxima “fiesta del parche”, que toca el 10 de Agosto.
y si elimino los accesos directos pero me quedo con mi dock de stardock? serviría de nada?
Y yo toco a tu hermana.
A ver... la solución temporal es desactivar la carga de accesos directos, es lo que dice el post y es lo que dice el boletín de seguridad de Mícrosoft (no se si lo líste), aparte que Mícrosoft ofrece un Fixit temporal.
O sea, solución hay... aunque temporal.
En el post dice que hay que ir directamente al exe de los programas y es un engorro, y eso está mal... los accesos directos siguen funcionando.
El engorro es que no se ven los iconos.
En fin, este blog se tendría que llamar genteta hace tiempo, publican sin saber.
Yo mientras sigo haciendo guita e infectando con esto y boludos que no saben nada jaja.
Saludos.
Muy bien por Alkar siempre pendiente de Windows.
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect