Bicho para vulnerabilidad MS05-047 (en realidad MS05-039)
|
Un poco más tarde de lo que tristemente era de esperar, pero finalmente se ha detectado que comienza a explotarse una de las últimas vulnerabilidades parcheadas por Microsoft este mes de octubre para infectar a los sistemas Windows.
Aunque en un principio barajábamos como candidata la vulnerabilidad MS05-051, para la que pronto se publicó un exploit, finalmente ha sido la vulnerabilidad MS05-047 la que han aprovechado. Suponemos que es bastante probable que esté relacionado con la publicación de un exploit hace apenas dos días. A efectos prácticos: ¡parchear vuestros sistemas Windows! (http://windowsupdate.microsoft.com) Otras posibilidades de mitigación pasan por tener un firewall que filtre los puertos TCP 139 y 445. Pero recordar que no sólo en el perímetro con Internet, este tipo de bichos son especialmente virulentos cuando se introducen en redes corporativas donde en muchos casos los PCs suelen tener estos puertos accesibles. El único que anda medio de enhorabuena es Julio, que al menos se ha ahorrado el premio de la porra, parece que finalmente nadie acertó con el día. Sobre el bicho en cuestión ampliaremos información en una-al-día. Como adelanto, se instala en el directorio de sistema de Windows como "wudpcom.exe", y barre la clase A de la red buscando otros equipos que infectar. Además se intenta comunicar con un par de servidores IRC a través del puerto TCP/18067, desde donde puede recibir órdenes como realizar ataques DoS coordinados o descargar e instalar nuevos componentes. Si la cosa prospera pueden montarse una botnet bastante grande, aunque lo normal es que se logre desactivar el núcleo central, los servidores, que por lo pronto no responden. ACTUALIZACION La porra sigue en pie. Al final el bicho afecta a los sistemas que no hayan sido actualizados con el parche MS05-039. La confusión viene porque el creador ha utilizado un código muy similar al exploit publicado para MS05-047. |