lunes, 28 de marzo de 2011

Linux y Windows: unidos por el Autorun



El archivo autorun.inf está alojado en la carpeta raíz de los dispositivos extraíbles, y es uno de los vectores de ataque más utilizados por los creadores de malware, para propagar sus amenazas por estos medios. Pero esto no es un problema sólo de Windows. En el blog del laboratorio de Eset, el Especialista de Awareness & Research Pablo Ramos advierte que las últimas versiones de Linux, por cambios debidos a usabilidad, permiten la ejecución automática de archivos al conectar dispositivos extraíbles.

Para casi cualquier usuario de PC, es de su conocimiento que la familia de códigos maliciosos denominada INF/Autorun ocupa las primeras posiciones en niveles de infección, desde hace tiempo. Esto se debe principalmente a la gran cantidad de dispositivos extraíbles que se encuentran infectados, sin que los usuarios sean conscientes de ello.

En las actualizaciones publicadas por Microsoft este último martes, se encuentra disponible un nuevo parche que deshabilita esta función. Dicho fix ha sido liberado disponible para las todas las versiones del sistema operativo de Microsoft anteriores a Windows 7, sistema que ya no cuenta con esta metodología.

A partir de la publicación de esta actualización todos aquellos usuarios que mantengan sus sistemas operativos con las actualizaciones al día, no se encontrarán expuestos a las amenazas que hacen uso de este archivo. Esta debería ser una gran noticia para los usuarios, y Microsoft ha realizado (finalmente) lo que la comunidad de la seguridad le ha solicitado durante años.

Por este motivo, remarcamos una vez más la importancia de realizar de manera periódica la instalación las actualizaciones publicadas, ya sean de la plataforma utilizada o las aplicaciones de terceros instaladas en ella. Más allá de los sistemas que sean actualizados y se encuentren protegidos, hay que remarcar que una gran cantidad de usuarios no cuentan con software licenciado y no podrán efectuar la instalación del mismo.

Esto conlleva a que por más que se encuentre disponible el parche de seguridad, muchos equipos continúan siendo vulnerables a este vector de ataque, de manera similar a a lo que ocurrió con Conficker, el conocido gusano que se propaga desde hace un par de años y todavía continúa infectando sistemas. A más de dos años de la publicación del parche de seguridad que impide la propagación de este gusano todavía se siguen detectando infecciones de Conficker, lo que confirma que muchos usuarios cuentan todavía con su sistema desactualizado o no pueden instalar los parches debido a que no cuentan con software licenciado.

Más allá de la buena noticia, vale destacar que este vector de ataque no va a desaparecer, por los motivos ya expuestos (no todos los usuarios corregirán esta funcionalidad) y, por otro lado, porque a pesar de que muchos creen que este método que solo podía ser utilizado en sistemas Windows, esto no es así.

Algunas versiones de escritorio del sistema operativo GNU/Linux cuentan con funcionalidades similares que podrían derivar en la infección del sistema. Tal vector de ataque ha sido expuesto por Jon Larimer, investigador que demostró en la Shmoocon cómo se puede explotar el Autorun en sistemas Linux, por lo que ya no es solo el sistema operativo de Microsoft el que puede verse afectado por este vector de ataque. Según Larimer, las últimas versiones de Linux, a partir de cambios por su usabilidad, permiten la ejecución automática de archivos al conectar dispositivos extraíbles. Vale destacar, de todas formas, que se trata de una prueba de concepto (demostración de que esto es posible), pero aún no se han observado ataques In-the-Wild explotando esta funcionalidad, aunque no es posible descartarlo para un futuro. Para los que entiendan inglés, aquí les dejo la charla completa con la demostración incluida:



En conclusión, una vez descubierto un vector de ataque, los desarrolladores de códigos maliciosos lo utilizan para la propagación de malware. Es por ello que se remarca tanto la importancia de contar con una solución antivirus con capacidad de detección proactiva como así también la concientización del usuario en los que respecta a materia de seguridad.

No hay comentarios: