MALWARE CAUSA LOS INCIDENTES DE BSoD (BLUE SCREEN OF DEATH) Y EL MS10-015

  • Article

En los últimos días Microsoft ha recibido diversos reportes de clientes afectados con BSoD (Blue Screen of Death – Pantalla Azul de la Muerte), después de la liberación de los boletines de seguridad del mes de Febrero, y ha iniciado una investigación.

Hoy ya ha detectado qué es lo que causaba el BSoD que afectaba a los clientes cuando realizaban la actualización del MS10-015. Tras una exhaustiva investigación (basada en un profundo análisis de vaciados de memoria de las máquinas de múltiples usuarios afectados y de pruebas extensivas contra aplicaciones y software de terceros) se ha confirmado que este problema se producía en los ordenadores que previamente estaban infectados con malware, concretamente con el Rootkit Alureon.

En ninguno de los incidentes investigados se encontraron problemas de calidad o bugs en el MS10-15. Microsoft insiste en que los clientes deben implantar las actualizaciones de seguridad de Febrero y asegurarse de que sus sistemas estén protegidos con software antivirus actualizado.

Los reinicios son el resultado de las modificaciones que el Rootkit Alureon hace a los archivos binarios del kernel de Windows, que pone a las máquinas afectadas en un estado inestable. Los autores de este Rootkit modificaron el comportamiento de Windows al intentar acceder directamente a una dirección de memoria específica, en vez de dejar que el sistema operativo determinara la dirección de memoria que es lo que normalmente pasa cuando se carga un ejecutable. Mientras el rootkit asumía dónde iba estar ubicado el código de Windows en memoria, el MS10-015 cuando se instalaba cambiaba esta ubicación. Esto provoca que, en el siguiente reinicio, se produjera un conflicto cuando el rootkit intentaba acceder a una dirección específica en el código de Windows mostrando el BSoD.

Microsoft ha desarrollado algunas medidas para evitar que se manipule el código del Kernel de Windows usando tecnologías como el  Kernel Patch Protection  (Protección de parcheo al Kernel, también conocido como PatchGuard) y el Kernel Mode Code Signing (KMCS, Firmado de Código en Modo Kernel), ambas habilitadas en nuestros sistemas operativos de 64 bits. Estas tecnologías hacen posible detectar cuando las revisiones de integridad del código del kernel fallen. Las diferentes versiones de Alureon que se han investigado solamente afectan sistemas de 32 bits y son incapaces de infectar sistemas de 64-bits.

Más información sobre la investigación y los resultados obtenidos en el artículo asociado a este incidente en el blog de MSRC.