Remember the function Autorun?, IT’s DEAD!!!!

Infectarse con malware y perder información, tiempo y dinero es un verdadero problema. En octubre de 2008 y en julio de 2010 nacieron dos de las mayores pesadillas conocidas en el mundo del malware: Conficker [1] y Stuxnet [2] respectivamente.

Si bien sus objetivos son totalmente distintos, ambos comparten una característica, que también es parte de otros miles de códigos maliciosos detectados como INF/Autorun por ESET NOD32: la forma de reproducción se realiza a través de los dispositivos extraíbles, aprovechando la funcionalidad de Autorun/Autoplay de Windows, que utiliza el archivo autorun.inf almacenado en el directorio raíz de la unidad:

Desde la aparición de Windows XP, esta funcionalidad ha traído innumerables dolores de cabeza y ha sido el motivo de varios incidentes, su posterior aprovechamiento por parte de los creadores de malware y las respectivas actualizaciones de Microsoft, a quien los expertos han reclamado desde hace tiempo la eliminación definitiva de dicha configuración.

Mientras las amenazas seguían creciendo, en Windows XP y Windows Vista se podía recurrir a varios “trucos de registro” [3] y diversos parches del fabricante, que el usuario debía instalar en forma manual, para deshabilitar de forma temporal la opción de Autorun/Autoplay.

Fue recién en Windows 7 cuando se incorpora Autoplay [4], donde sólo los dispositivos ópticos como CD o DVD pueden utilizar la opción de ejecutarse automáticamente al insertarlos, pero no así el resto de los dispositivos USB o tarjetas de memoria.

Finalmente, el pasado mes de febrero, Microsoft cambió su política y comenzó la distribución de la actualización 967940 (KB971029) [5], primero en forma opcional y luego en forma obligatoria, y clasificó la actualización como crítica en todos las versiones de Windows distintas a Windows 7, que originalmente ya no incluía esta funcionalidad. Sin embargo, esta clasificación, que puede entenderse y es deseable desde el punto de vista de la seguridad, puede resultar confusa para los usuarios acostumbrados a utilizar la apertura automática del dispositivo.

Luego de lo ocurrido con Autorun en estos 10 años y de la cantidad de amenazas creadas, se puede enunciar lo siguiente:

  • La incorporación de funcionalidades y usabilidad en los sistemas amplía y facilita la posibilidad de que los usuarios se encuentren más a gusto con dichos sistemas, pero también amplía la superficie de ataque y las posibilidades de los delincuentes para aprovecharse de nuevas vulnerabilidades.
  • Actualmente, el malware que se distribuye y reproduce por dispositivos extraíbles – alrededor del 25% – no desaparecerá, ya que son muchos los usuarios que no actualizan sus sistemas operativos, además de la posibilidad de que sus creadores realicen modificaciones en ellos para aprovechar otros vectores de ataques.
  • Las actualizaciones son una herramienta fundamental para el sistema operativo y las aplicaciones, y es por esto que los usuarios y administradores deben prestar  especial atención a su instalación así como a evitar la utilización de herramientas que modifican y debilitan el sistema, como por ejemplo crack, warez, etc.
  • En el mismo momento que Microsoft elimina casi por completo la funcionalidad descripta, algunas distribuciones de Linux comenzaron a incorporarla y ya se comienzan a ver las primeras pruebas de concepto (PoC) que la aprovechan [6].

La eliminación de Autorun por parte del fabricante es una buena noticia pero deberá ser respaldada con responsabilidad y con buena administración por parte de los usuarios y los administradores, que deberían instalar la actualización mencionada en forma inmediata, ya que quien no lo haga seguirá sufriendo de dolores de cabeza innecesarios.

[1] Conficker
http://blogs.eset-la.com/laboratorio/2008/11/29/gusano-conficker-parchee-inmediatamente/
http://blogs.eset-la.com/laboratorio/2009/04/10/nueva-variante-funcionalidades-conficker/
http://blogs.eset-la.com/laboratorio/2009/02/18/novedades-conficker/

http://blogs.eset-la.com/laboratorio/2009/11/18/conficker-en-numeros/
http://blogs.eset-la.com/laboratorio/2009/02/17/aprendiendo-conficker-no-utilizar-contrasenas-debiles/
http://blogs.eset-la.com/laboratorio/2009/01/27/herramienta-de-eset-para-eliminar-conficker/
http://blogs.eset-la.com/laboratorio/2009/01/25/estadisticas-conficker/
http://blogs.eset-la.com/laboratorio/2009/01/16/conficker-atraves-autorun/

[2] Stuxnet
http://blogs.eset-la.com/laboratorio/2010/07/20/stuxnet-episodio-2/

http://blogs.eset-la.com/laboratorio/2010/07/21/stuxnet-episodio-3-mitigacion/

[3] Deshabilitar Autorun de Windows
http://blogs.eset-la.com/laboratorio/2009/08/29/elimina-autorun-dispositivos-usb/

[4] Windows 7 elimina Autorun
http://blogs.eset-la.com/laboratorio/2009/11/03/windows-7-dispositivos-usb/

[5] Actualización KB971029 de Windows
http://support.microsoft.com/kb/971029
http://www.microsoft.com/latam/technet/seguridad/alerta/967940.mspx
http://blogs.technet.com/b/msrc/archive/2011/02/08/deeper-insight-into-the-security-advisory-967940-update.aspx

[6] Autorun en Linux
http://blogs.eset-la.com/laboratorio/2011/02/10/adios-autorun-windows-linux/

Fuentezma.com.ar

Share

This entry was posted in bugs, hardening, malware, seguridad, unidades ext., updates, windows. Bookmark the permalink.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.