Microsoft publicó un informe de seguridad en el cual avisa de una vulnerabilidad zero-day crítica aún no parcheada en Windows, relacionada con un troyano que se propaga a través de dispositivos USB.
“Esta vulnerabilidad fue hallada operando en combinación con el malware Stuxnet”, explicó Dave Forstrom, director del grupo Trustworthy Computing de Microsoft. Stuxnet es un tipo de malware que incluye un troyano para descargar otros códigos de ataque.
La amenaza en cuestión evita la desactivación de AutoRun y se ejecuta bajo cualquier circunstancia cuando, por ejemplo, se inserta en el sistema una memoria USB extraíble.
El troyano se esconde con habilidades de rootkit para pasar desapercibido en los sistemas en los que consigue instalarse, y lejos de usar el tradicional autorun.inf (contra el que ya se puso remedio), se propaga en llaves USB en forma de archivos del tipo ~WTR4132.tmp, que se parecen mucho a los archivos temporales de Word que usa Office internamente cuando un documento está en uso.
Forstrom también señaló que los ataques detectados son “limitados y muy dirigidos”, aunque el grupo de Microsoft responsable de firmas antivirus reconoció haber descubierto 6.000 intentos de infectar PCs aprovechando el fallo desde el pasado 15 de julio.
Por ahora, Microsoft recomendó poner en blanco el valor predeterminado (default) de la rama del registro HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler, detener y deshabilitar el servicio “cliente web” (WebClient) y lo de siempre: no usar la cuenta de administrador, mantenerse informado, no usar memorias USB no confiables y mantener actualizado el sistema y el antivirus.
Este nuevo ataque recuerda un poco a Conficker, el famoso gusano que también encontró una forma de eludir la desactivación de AutoRun en Windows (gracias a una modificación en autorun.inf que no se tuvo en cuenta) y que obligó a Microsoft a modificar toda su filosofía en este sentido y desactivar (se creía que de forma eficaz hasta ahora) por completo el dichoso AutoRun.
