Nueva y peligrosa vulnerabilidad en el shell de Windows (y como repararla)

Hay una nueva vulnerabilidad (aviso de seguridad 2286198) en el shell de Windows, misma que permite que un atacante ejecute código en la computadora infectada si esta falla es explotada correctamente. El problema tiene que ver con la manera en que Windows y su shell tratan a los archivos .lnk. Este vulnerabilidad puede explotarse de varias maneras, siendo la más común al conectar dispositivos de almacenamiento móviles como memorias USB o discos duros portátiles, aunque también hay otros escenarios potenciales como a través de WebDAV o unidades compartidas de red. Cualquier aplicación de Windows que intente mostrar el ícono del atajo, incluyendo Explorer, ocasionará que se explote esta vulnerabilidad; es decir, con navegar por un directorio que muestre los atajos maliciosos es suficiente para que se comprometa un sistema.

Suena mal, pero cuando menos hay (de acuerdo con Microsoft) tres factores mitigantes: el primero es que esta vulnerabilidad le da al atacante (de tener éxito) los mismos privilegios que el usuario activo; el segundo es que esta vulnerabilidad no funciona si no tienes activada la reproducción automática al conectar nuevos medios; y por último, bloquear las conexiones SMB en el firewall reduce en mucho el riesgo de padecer esta vulnerabilidad.

Aunque Microsoft no ha producido un parche oficial para curar este mal, algo que puedes hacer al respecto es deshabilitar que se muestren íconos en los atajos haciendo lo siguiente:

• Presiona la tecla de Windows + R, teclea “regedit” (sin comillas) y presiona Enter; si recibes una advertencia del Control de Cuentas de Usuario, sólo continúa.
• Localiza y haz clic en la llave HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler .
• Haz clic en el menú “Archivo” y después en “Exportar“.
• En el diálogo de “Exportar archivo del Registro“, escribe un nombre de archivo y haz clic en “Guardar“. Con esto tendrás un respaldo de la llave por si algo sale mal.
• Selecciona el valor (“Default” ) en la parte derecha de la ventana del Editor del Registro; presiona Enter para editar ese valor, elimínalo de modo que quede vacío y presiona Enter de nuevo.
• Reinicia tu PC.

Esto deshabilitará todos los íconos de los atajos, y en vez de estos se mostrarán íconos en blanco, lo que hará muy difícil la identificación, como puedes ver a continuación:

Microsoft también recomienda deshabilitar el servicio WebClient para evitar los ataques vía WebDAV. Para hacer esto, sigue estos pasos:

• Presiona la tecla de Windows + R, teclea “services.msc” (sin comillas) y presiona Enter; si recibes una advertencia del Control de Cuentas de Usuario, sólo continúa.
• En la lista de servicios ubica “WebClient” o “Cliente web” en la lista de servicios; haz clic con el botón derecho y selecciona Propiedades.
• Ubica “Tipo de inicio” y cámbialo a “Deshabilitado“.
• Haz clic en Aceptar para aplicar los cambios.

Estas soluciones son algo molestas (la primera lo es bastante), pero mientras Microsoft libera un parche oficial no hay mucho que hacer. Esta vulnerabilidad está presente desde Windows XP SP2 hasta el más reciente, Windows 7.

Fuentes: Ars Technica, Dephi Feeds, gHacks