lunes, 18 de abril de 2011

Autorun, el final de muchos dolores de cabeza

Infectarse con malware y perder información, tiempo y dinero es un verdadero problema. En octubre de 2008 y en julio de 2010 nacieron dos de las mayores pesadillas conocidas en el mundo del malware: Conficker [1] y Stuxnet [2] respectivamente.

Si bien sus objetivos son totalmente distintos, ambos comparten una característica, que también es parte de otros miles de códigos maliciosos detectados como INF/Autorun por ESET NOD32: la forma de reproducción se realiza a través de los dispositivos extraíbles, aprovechando la funcionalidad de Autorun/Autoplay de Windows, que utiliza el archivo autorun.inf almacenado en el directorio raíz de la unidad:

Desde la aparición de Windows XP, esta funcionalidad ha traído innumerables dolores de cabeza y ha sido el motivo de varios incidentes, su posterior aprovechamiento por parte de los creadores de malware y las respectivas actualizaciones de Microsoft, a quien los expertos han reclamado desde hace tiempo la eliminación definitiva de dicha configuración.
Mientras las amenazas seguían creciendo, en Windows XP y Windows Vista se podía recurrir a varios “trucos de registro” [3] y diversos parches del fabricante, que el usuario debía instalar en forma manual, para deshabilitar de forma temporal la opción de Autorun/Autoplay.
Fue recién en Windows 7 cuando se incorpora Autoplay [4], donde sólo los dispositivos ópticos como CD o DVD pueden utilizar la opción de ejecutarse automáticamente al insertarlos, pero no así el resto de los dispositivos USB o tarjetas de memoria.

Finalmente, el pasado mes de febrero, Microsoft cambió su política y comenzó la distribución de la actualización 967940 (KB971029) [5], primero en forma opcional y luego en forma obligatoria, y clasificó la actualización como crítica en todos las versiones de Windows distintas a Windows 7, que originalmente ya no incluía esta funcionalidad. Sin embargo, esta clasificación, que puede entenderse y es deseable desde el punto de vista de la seguridad, puede resultar confusa para los usuarios acostumbrados a utilizar la apertura automática del dispositivo.

Luego de lo ocurrido con Autorun en estos 10 años y de la cantidad de amenazas creadas, se puede enunciar lo siguiente:
  • La incorporación de funcionalidades y usabilidad en los sistemas amplía y facilita la posibilidad de que los usuarios se encuentren más a gusto con dichos sistemas, pero también amplía la superficie de ataque y las posibilidades de los delincuentes para aprovecharse de nuevas vulnerabilidades.
  • Actualmente, el malware que se distribuye y reproduce por dispositivos extraíbles - alrededor del 25% - no desaparecerá, ya que son muchos los usuarios que no actualizan sus sistemas operativos, además de la posibilidad de que sus creadores realicen modificaciones en ellos para aprovechar otros vectores de ataques.
  • Las actualizaciones son una herramienta fundamental para el sistema operativo y las aplicaciones, y es por esto que los usuarios y administradores deben prestar  especial atención a su instalación así como a evitar la utilización de herramientas que modifican y debilitan el sistema, como por ejemplo crack, warez, etc.
  • En el mismo momento que Microsoft elimina casi por completo la funcionalidad descripta, algunas distribuciones de Linux comenzaron a incorporarla y ya se comienzan a ver las primeras pruebas de concepto (PoC) que la aprovechan [6].
La eliminación de Autorun por parte del fabricante es una buena noticia pero deberá ser respaldada con responsabilidad y con buena administración por parte de los usuarios y los administradores, que deberían instalar la actualización mencionada en forma inmediata, ya que quien no lo haga seguirá sufriendo de dolores de cabeza innecesarios.

[1] Confickerhttp://blogs.eset-la.com/laboratorio/2008/11/29/gusano-conficker-parchee-inmediatamente/
http://blogs.eset-la.com/laboratorio/2009/04/10/nueva-variante-funcionalidades-conficker/
http://blogs.eset-la.com/laboratorio/2009/02/18/novedades-conficker/

http://blogs.eset-la.com/laboratorio/2009/11/18/conficker-en-numeros/
http://blogs.eset-la.com/laboratorio/2009/02/17/aprendiendo-conficker-no-utilizar-contrasenas-debiles/
http://blogs.eset-la.com/laboratorio/2009/01/27/herramienta-de-eset-para-eliminar-conficker/
http://blogs.eset-la.com/laboratorio/2009/01/25/estadisticas-conficker/
http://blogs.eset-la.com/laboratorio/2009/01/16/conficker-atraves-autorun/

[2] Stuxnet
http://blogs.eset-la.com/laboratorio/2010/07/20/stuxnet-episodio-2/

http://blogs.eset-la.com/laboratorio/2010/07/21/stuxnet-episodio-3-mitigacion/

[3] Deshabilitar Autorun de Windows
http://blogs.eset-la.com/laboratorio/2009/08/29/elimina-autorun-dispositivos-usb/


[4] Windows 7 elimina Autorun
http://blogs.eset-la.com/laboratorio/2009/11/03/windows-7-dispositivos-usb/


[5] Actualización KB971029 de Windows
http://support.microsoft.com/kb/971029
http://www.microsoft.com/latam/technet/seguridad/alerta/967940.mspx
http://blogs.technet.com/b/msrc/archive/2011/02/08/deeper-insight-into-the-security-advisory-967940-update.aspx

[6] Autorun en Linux
http://blogs.eset-la.com/laboratorio/2011/02/10/adios-autorun-windows-linux/

Fuente: zma.com.ar


 



 

No hay comentarios: