Dicho gusano fue descubierto en julio por la compañía Bielorrusa VirusBlokAda y llamó la atención de la industria de seguridad ya que explotaba una vulnerabilidad que se extendía a través de unidades de almacenamiento USB y que afectaba a Windows debido a la manera de gestionar los accesos directos, archivos .lnk (Vulnerabilidad crítica CVE-2010-2568). Dicha vulnerabilidad fue parcheada por Microsoft en agosto.

Sin embargo, se ha encontrado una nueva vía de expansión del malware a través de redes locales, explotando una vulnerabilidad zero-day de Windows (CVE-2010-2729) que atañe al servicio Print Spooler.

El gusano aprovecha este problema para acceder a los ordenadores de la red local que disponen de impresoras compartidas o bien utilizan impresoras de red. Sin embargo, para poder ejecutar código con permiso de administrador, la amenaza explota dos bugs de escalado de provilegios, uno para XP y otro para Vista / 7.

La vulnerabilidad XP Elevation of Privilege (EoP) fue solucionada en el parche del segundo martes de octubre, sin embargo Microsoft no ha solucionado el problema para Vista y Windows 7, que sigue accesible y que un hacker conocido como “webDEViL” ha querido demostrar con un código -prueba de concepto- para explotarlo.

El problema no está siendo explotado de manera masiva debido a que el atacante necesita obtener acceso a una cuenta limitada en el sistema y por tanto Microsoft probablemente lo solucione en laactualización del próximo mes.

Fuente: muyseguridad