Remember the function Autorun?, IT’s DEAD!!!!

Infectarse con malware y perder informaci贸n, tiempo y dinero es un verdadero problema. En octubre de 2008 y en julio de 2010 nacieron dos de las mayores pesadillas conocidas en el mundo del malware: Conficker [1] y Stuxnet [2] respectivamente.

Si bien sus objetivos son totalmente distintos, ambos comparten una caracter铆stica, que tambi茅n es parte de otros miles de c贸digos聽maliciosos聽detectados como聽INF/Autorun por ESET NOD32: la forma de reproducci贸n se realiza a trav茅s de los dispositivos extra铆bles, aprovechando la funcionalidad de Autorun/Autoplay de Windows, que utiliza el archivo autorun.inf almacenado en el directorio ra铆z de la unidad:

Desde la aparici贸n de Windows XP, esta funcionalidad ha tra铆do innumerables dolores de cabeza y ha sido el motivo de varios incidentes, su posterior aprovechamiento por parte de los creadores de malware y las respectivas actualizaciones de Microsoft, a quien los expertos han reclamado desde hace tiempo la eliminaci贸n definitiva de dicha configuraci贸n.

Mientras las amenazas segu铆an creciendo, en Windows XP y Windows Vista se pod铆a recurrir a varios 鈥渢rucos de registro鈥 [3] y diversos parches del fabricante, que el usuario deb铆a instalar en forma manual, para deshabilitar de forma temporal la opci贸n de Autorun/Autoplay.

Fue reci茅n en Windows 7 cuando se incorpora Autoplay [4], donde s贸lo los dispositivos 贸pticos como CD o DVD pueden utilizar la opci贸n de ejecutarse autom谩ticamente al insertarlos, pero no as铆 el resto de los dispositivos USB o tarjetas de memoria.

Finalmente, el pasado mes de febrero, Microsoft cambi贸 su pol铆tica y comenz贸 la distribuci贸n de la actualizaci贸n 967940 (KB971029) [5], primero en forma opcional y luego en forma obligatoria, y clasific贸 la actualizaci贸n como cr铆tica en todos las versiones de Windows distintas a Windows 7, que originalmente ya no inclu铆a esta funcionalidad. Sin embargo, esta clasificaci贸n, que puede entenderse y es deseable desde el punto de vista de la seguridad, puede resultar confusa para los usuarios acostumbrados a utilizar la apertura autom谩tica del dispositivo.

Luego de lo ocurrido con Autorun en estos 10 a帽os y de la cantidad de amenazas creadas, se puede enunciar lo siguiente:

  • La incorporaci贸n de funcionalidades y usabilidad en los sistemas ampl铆a y facilita la posibilidad de que los usuarios se encuentren m谩s a gusto con dichos sistemas, pero tambi茅n ampl铆a la superficie de ataque y las posibilidades de los delincuentes para aprovecharse de nuevas vulnerabilidades.
  • Actualmente, el malware que se distribuye y reproduce por dispositivos extra铆bles – alrededor del 25% – no desaparecer谩, ya que son muchos los usuarios que no actualizan sus sistemas operativos, adem谩s de la posibilidad de que sus creadores realicen modificaciones en ellos para aprovechar otros vectores de ataques.
  • Las actualizaciones son una herramienta fundamental para el sistema operativo y las aplicaciones, y es por esto que los usuarios y administradores deben prestar聽 especial atenci贸n a su instalaci贸n as铆 como a evitar la utilizaci贸n de herramientas que modifican y debilitan el sistema, como por ejemplo crack, warez, etc.
  • En el mismo momento que Microsoft elimina casi por completo la funcionalidad descripta, algunas distribuciones de Linux comenzaron a incorporarla y ya se comienzan a ver las primeras pruebas de concepto (PoC) que la aprovechan [6].

La eliminaci贸n de Autorun por parte del fabricante es una buena noticia pero deber谩 ser respaldada con responsabilidad y con buena administraci贸n por parte de los usuarios y los administradores, que deber铆an instalar la actualizaci贸n mencionada en forma inmediata, ya que quien no lo haga seguir谩 sufriendo de dolores de cabeza innecesarios.

[1] Conficker
http://blogs.eset-la.com/laboratorio/2008/11/29/gusano-conficker-parchee-inmediatamente/
http://blogs.eset-la.com/laboratorio/2009/04/10/nueva-variante-funcionalidades-conficker/
http://blogs.eset-la.com/laboratorio/2009/02/18/novedades-conficker/

http://blogs.eset-la.com/laboratorio/2009/11/18/conficker-en-numeros/
http://blogs.eset-la.com/laboratorio/2009/02/17/aprendiendo-conficker-no-utilizar-contrasenas-debiles/
http://blogs.eset-la.com/laboratorio/2009/01/27/herramienta-de-eset-para-eliminar-conficker/
http://blogs.eset-la.com/laboratorio/2009/01/25/estadisticas-conficker/
http://blogs.eset-la.com/laboratorio/2009/01/16/conficker-atraves-autorun/

[2] Stuxnet
http://blogs.eset-la.com/laboratorio/2010/07/20/stuxnet-episodio-2/

http://blogs.eset-la.com/laboratorio/2010/07/21/stuxnet-episodio-3-mitigacion/

[3] Deshabilitar Autorun de Windows
http://blogs.eset-la.com/laboratorio/2009/08/29/elimina-autorun-dispositivos-usb/

[4] Windows 7 elimina Autorun
http://blogs.eset-la.com/laboratorio/2009/11/03/windows-7-dispositivos-usb/

[5] Actualizaci贸n KB971029 de Windows
http://support.microsoft.com/kb/971029
http://www.microsoft.com/latam/technet/seguridad/alerta/967940.mspx
http://blogs.technet.com/b/msrc/archive/2011/02/08/deeper-insight-into-the-security-advisory-967940-update.aspx

[6] Autorun en Linux
http://blogs.eset-la.com/laboratorio/2011/02/10/adios-autorun-windows-linux/

Fuente:聽zma.com.ar

Share

This entry was posted in bugs, hardening, malware, seguridad, unidades ext., updates, windows. Bookmark the permalink.

Deja una respuesta

Tu direcci贸n de correo electr贸nico no ser谩 publicada. Los campos obligatorios est谩n marcados con *

Este sitio usa Akismet para reducir el spam. Aprende c贸mo se procesan los datos de tus comentarios.