Remember the function Autorun?, IT’s DEAD!!!!

Infectarse con malware y perder información, tiempo y dinero es un verdadero problema. En octubre de 2008 y en julio de 2010 nacieron dos de las mayores pesadillas conocidas en el mundo del malware: Conficker [1] y Stuxnet [2] respectivamente.

Si bien sus objetivos son totalmente distintos, ambos comparten una característica, que también es parte de otros miles de códigos maliciosos detectados como INF/Autorun por ESET NOD32: la forma de reproducción se realiza a través de los dispositivos extraíbles, aprovechando la funcionalidad de Autorun/Autoplay de Windows, que utiliza el archivo autorun.inf almacenado en el directorio raíz de la unidad:

Desde la aparición de Windows XP, esta funcionalidad ha traído innumerables dolores de cabeza y ha sido el motivo de varios incidentes, su posterior aprovechamiento por parte de los creadores de malware y las respectivas actualizaciones de Microsoft, a quien los expertos han reclamado desde hace tiempo la eliminación definitiva de dicha configuración.

Mientras las amenazas seguían creciendo, en Windows XP y Windows Vista se podía recurrir a varios “trucos de registro” [3] y diversos parches del fabricante, que el usuario debía instalar en forma manual, para deshabilitar de forma temporal la opción de Autorun/Autoplay.

Fue recién en Windows 7 cuando se incorpora Autoplay [4], donde sólo los dispositivos ópticos como CD o DVD pueden utilizar la opción de ejecutarse automáticamente al insertarlos, pero no así el resto de los dispositivos USB o tarjetas de memoria.

Finalmente, el pasado mes de febrero, Microsoft cambió su política y comenzó la distribución de la actualización 967940 (KB971029) [5], primero en forma opcional y luego en forma obligatoria, y clasificó la actualización como crítica en todos las versiones de Windows distintas a Windows 7, que originalmente ya no incluía esta funcionalidad. Sin embargo, esta clasificación, que puede entenderse y es deseable desde el punto de vista de la seguridad, puede resultar confusa para los usuarios acostumbrados a utilizar la apertura automática del dispositivo.

Luego de lo ocurrido con Autorun en estos 10 años y de la cantidad de amenazas creadas, se puede enunciar lo siguiente:

La incorporación de funcionalidades y usabilidad en los sistemas amplía y facilita la posibilidad de que los usuarios se encuentren más a gusto con dichos sistemas, pero también amplía la superficie de ataque y las posibilidades de los delincuentes para aprovecharse de nuevas vulnerabilidades.

Actualmente, el malware que se distribuye y reproduce por dispositivos extraíbles – alrededor del 25% – no desaparecerá, ya que son muchos los usuarios que no actualizan sus sistemas operativos, además de la posibilidad de que sus creadores realicen modificaciones en ellos para aprovechar otros vectores de ataques.

Las actualizaciones son una herramienta fundamental para el sistema operativo y las aplicaciones, y es por esto que los usuarios y administradores deben prestar especial atención a su instalación así como a evitar la utilización de herramientas que modifican y debilitan el sistema, como por ejemplo crack, warez, etc.

En el mismo momento que Microsoft elimina casi por completo la funcionalidad descripta, algunas distribuciones de Linux comenzaron a incorporarla y ya se comienzan a ver las primeras pruebas de concepto (PoC) que la aprovechan [6].

La eliminación de Autorun por parte del fabricante es una buena noticia pero deberá ser respaldada con responsabilidad y con buena administración por parte de los usuarios y los administradores, que deberían instalar la actualización mencionada en forma inmediata, ya que quien no lo haga seguirá sufriendo de dolores de cabeza innecesarios.