Alerta para usuarios Windows

Stuxnet Rootkit permite la ejecución automática de malware desde unidades USB y se propaga aunque la ejecución y reproducción automática estén deshabilitadas.

Sophos advierte de la existencia de un rootkit que puede instalarse automáticamente desde una memoria USB en un PC totalmente parcheado, incluso si el usuario ha desactivado la ejecución y reproducción automática de Windows.

El rootkit W32/Stuxnet-B (dispositivo de hardware o software que intenta conseguir permisos de administrador sin ser detectado) explota una vulnerabilidad en la forma en que Windows maneja los archivos con extensión .LNK (accesos directos), y le permite ejecutarse automáticamente si se accede al dispositivo USB desde el Explorador de Windows. Una vez que el rootkit está instalado se mantiene en “modo oculto” (stealth-mode), evitando ser detectado en el PC.

Curiosamente, los archivos sospechosos llevan la firma digital de Realtek Semiconductor Corp., el mayor proveedor de equipos informáticos.

“Amenazas que ya se extendieron en el pasado a través de dispositivos USB, vieron reducido el riesgo por la desactivación de la reproducción automática. El peligro es que otros tipos de malware se aprovecharán de las vulnerabilidades de “Día-Cero” que deja al descubierto Stuxnet, llevando los ataques a un nuevo nivel”, comenta Pablo Teijeira, Corporate Account Manager de Sophos Iberia. “La vulnerabilidad es todavía objeto de análisis por parte de la comunidad de seguridad, pero hay sospechas preocupantes de que el malware podría estar intentando tener acceso a datos de los sistemas SCADA Siemens, el software que controla las infraestructuras más críticas”.

Fuente: Sophos.

Anuncios