Los incidentes de BSoD (Blue Screen of Death – Pantalla Azul de la Muerte) y el MS10-015 son causados por Malware

Hola, les escribe Roberto Arbeláez. Después de una exhaustiva investigación, Microsoft ha confirmado que los problemas reportados de BSoD (Blue Screen of Death – Pantalla Azul de la Muerte) solo se presentan cuando la actualización asociada al  boletín de seguridad MS10-015 se instala en máquinas previamente infectadas con el Rootkit Alureon.

Microsoft llegó a esta conclusión después del análisis exhaustivo de vaciados de memoria obtenidas de múltiples máquinas de usuarios afectados, así como de pruebas extensivas contra aplicaciones y software de terceros.

Los reinicios son el resultado de las modificaciones que el Rootkit Alureon hace a los archivos binarios del kernel de Windows, que pone a las máquinas afectadas en un estado inestable. En ninguno de los incidentes investigados se encontraron problemas de calidad o bugs en el MS10-15. 

En el caso particular de Alureon, los autores de este Rootkit modificaron el comportamiento de Windows al intentar acceder a un segmento específico de memoria directamente, en vez de dejar que el sistema operativo determinara la dirección de memoria que es lo que usualmente pasa cuando se carga un ejecutable. La cadena de eventos en este caso empezaba por que una máquina era infectada con Alureon, y este rootkit asumía en donde iba a estar ubicado el código de windows en memoria. Posteriormente, el MS10-015 era bajado e instalado, durante lo cual se cambiaba la ubicación del código de windows en memoria. Al siguiente reinicio, el código del rootkit hacía que el sistema se estrellara, al intentar acceder una dirección específica en el código de windows residente en memoria que ya no alojaba la función del sistema operativo a la que el rootkit intentaba acceder.

Microsoft ha desarrollado algunas medidas para evitar que se manipule el código del Kernel de Windows usando tecnologías como el  Kernel Patch Protection  (Protección de parcheo al Kernel, también conocido como PatchGuard) y Kernel Mode Code Signing (KMCS, Firmado de Código en Modo Kernel), ambas habilitadas en nuestros sistemas operativos de 64 bits. Estas tecnologías hacen posible detectar cuando las revisiones de integridad del códigio del kernel fallen. Las diferentes versiones de Alureon que se han investigado solamente afectan sistemas de 32 bits y son incapaces de infectar sistemas de 64-bits.

Puede obtener más información sobre el kernel de windows en este link. Más información sobre la investigación y los resultados obtenidos en el articulo asociado a este incidente en el blog de MSRC.

Nuestras recomendaciones siguen siendo las mismas: Los clientes deben implantar las actualizaciones de seguridad de Febrero y asegurarse de que sus sistemas estén protegidos con  software antivirus actualizado.

Si usted es uno de nuestros clientes afectados, le podemos ayudar. Puede abrir un caso de soporte gratuito, en cualquiera de nuestros canales de soporte para Latinoamérica:

Saludos,

Roberto Arbeláez

Security Program Manager for Latin America

CSS Security

Microsoft Corp.

**Esto se publica “como está” sin garantías y no confiere derechos**