El Internet Storm Center ha reportado la aparición de un exploit que se aprovecha de una supuestamente recién descubierta vulnerabilidad en Microsoft Word (Word XP y Word 2003). El exploit ha sido enviado en documentos .DOC adjuntos a correos electrónicos que se han propagado en forma de spam (actualmente, el documento puede tener un nombre como NO.060517.DOC.DOC o PLAN.DOC, entre otros posibles).

Cuando el exploit se ejecuta (al abrirse el documento modificado maliciosamente), se libera un troyano tipo BOT en el sistema. En concreto, los siguientes archivos son creados:

\TEMP\20060424.bak
\TEMP\csrse.exe
c:\windows\system32\winguis.dll

CSRSE.EXE se autoelimina luego de ejecutarse. La carpeta "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.

Luego de liberar estos archivos, se sobrescribe el documento de Word con contenido no infectado. Como resultado visible, Word deja de responder, mientras se ofrece al usuario la opción de reabrir el archivo. Si esta acción es aceptada, el nuevo documento, que no contiene ningún tipo de infección, es abierto sin ninguna otra clase de incidente.

Mientras tanto, el troyano intenta conectarse a un determinado sitio web vía HTTP (http: // localhosts .3322 .org). Esta acción es reiterada cada 60 segundos aproximadamente.

El código liberado también aplica técnicas de rootkit para ocultar los archivos asociados con el troyano. En concreto, esto hace que cualquier archivo que se llame WINGUIS.DLL no pueda ser visto con el Explorador de Windows.

La siguiente clave del registro es modificada para que el mencionado DLL sea invocado por Windows:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = "c:\windows\system32\winguis.dll"

El BOT es capaz de capturar información del sistema infectado (versión del sistema operativo, actualizaciones instaladas, antivirus y cortafuegos instalados, configuración del Internet Explorer, contenido de carpetas como "Mis documentos", "Inicio", etc.)

Alternativamente, el troyano abre la posibilidad de que un usuario remoto pueda ejecutar comandos, descargar otros archivos, capturar información del teclado, lanzar y detener servicios, matar procesos, leer, escribir o borrar archivos y carpetas, reiniciar Windows, tomar capturas de pantallas, etc.

También son creados los siguientes archivos (al comienzo, de cero byte cada uno):

c:\windows\system32\drivers\DetPort.sys
c:\windows\system32\drivers\IsPubDRV.sys
c:\windows\system32\drivers\RVdPort.sys

Las siguientes claves también pueden ser creadas:

HKLM\System\CurrentControlSet\Services\gui30svr

HKLM\System\ControlSet001\Control\Class
{8ECC055D-047F-11D1-A537-0000F8753ED1}

HKLM\System\ControlSet001\Enum\Root\legacy_gui30svr\0000
driver = "{8ECC055D-047F-11D1-A537-0000F8753ED1}\0024"

Microsoft reconoció la existencia de la vulnerabilidad e informó también sobre este exploit. Además de recomendar a los usuarios no abrir adjuntos no solicitados (al momento actual, única vía de entrada para el exploit), promete que un parche para este problema sería publicado en la próxima actualización programada (junio 13 de 2006).

NOTA: El término "Zero day" (o "0day"), se aplica en este caso a un exploit hecho público para una vulnerabilidad de la que aún no existe un parche, generalmente el mismo día de haber sido descubierta.


Relacionados:

Targeted attack: experience from the trenches (NEW)
http://isc.sans.org/diary.php?storyid=1345

Targeted attack: Word exploit - Update (NEW)
http://isc.sans.org/diary.php?storyid=1346

Update on Word 0-Day Issue (NEW)
http://isc.sans.org/diary.php?n&storyid=1351

Microsoft Security Advisory (919637)
Vulnerability in Word Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/919637.mspx

Exploits Circulating for Zero Day Flaw in Microsoft Word
http://www.eeye.com/html/resources/newsletters/alert/pub/AL20060523.html