jueves, 28 de agosto de 2003

El gusano Blaster en entornos corporativos

Los primeros reportes sobre el gusano Blaster apuntaban a que los
principales afectados eran los usuarios domésticos. Con el paso de las
horas y los días se detectó un incremento considerable en los entornos
corporativos, a priori protegidos contra este gusano gracias a sus
medidas de seguridad perimetrales. El origen de muchos de estos
incidentes fueron causa del uso de portátiles y usuarios remotos,
grandes olvidados de las políticas de seguridad.

Las características del gusano Blaster, que se propagaba a través
de una vulnerabilidad del interfaz RPC de Windows, conectándose con
sus víctimas por el puerto TCP/135, lo hacían idóneo para infectar
a usuarios domésticos. Dejando a un lado a los usuarios de ADSL que
suelen contar con la protección adicional del router, o a los más
previsores que cuentan con firewalls personales, la mayoría se
conectan a Internet de forma directa y transparente, permitiendo el
acceso indiscriminado a todos sus puertos.

Por contra, la mayoría de las corporaciones cuentan con sistemas de
protección perimetral, como los firewalls, que impiden el acceso
indiscriminado desde Internet a los sistemas locales, protegen los
puertos no públicos de los servidores hospedados en la DMZ, etc.
Aunque se pueden encontrar deshonrosos casos donde Blaster consiguió
infectar entornos corporativos directamente desde Internet, por
ejemplo a través de servidores públicos con el puerto TCP/135
accesible y con conexiones a recursos de la red local, lo cierto es
que durante las primeras horas de Blaster el impacto en las
corporaciones fue muy limitado.

Sin embargo, a medida que pasaban las horas aumentaban las incidencias
en entornos corporativos, donde a priori no era posible una vía de
comunicación a través del puerto TCP/135 y sus sistemas. Hispasec,
previa demanda de las empresas afectadas, ha actuado en varios de
estos entornos.

En primer lugar se ejecutó un plan de choque para eliminar el gusano
y prevenir futuras infecciones, para lo que tuvimos que desarrollar
una herramienta que desinfectara y parcheara los equipos sin
necesidad de recurrir a las actualizaciones de Microsoft. Este ha
sido uno de los talones de Aquiles de las soluciones gratuitas
facilitadas por los antivirus en este caso, que eliminaban el gusano
pero no actuaban previniendo futuras infecciones, quedando en mano
de los administradores o usuarios la instalación de los parches de
Microsoft si no querían verse de nuevo afectados. La realidad es que
existen formas de hacer ambas funciones, desinfección y prevención,
en un sólo paso y en cuestión de segundos. Es de esperar que a corto
o medio plazo las soluciones antivirus evolucionen y tengan un papel
más activo en este terreno.

Pasada la tormenta, quedaba la auditoría de los sistemas de seguridad
perimetrales para detectar un posible agujero que hubiera permitido la
entrada de Blaster desde Internet. En la mayoría de los casos no
era posible que Blaster hubiera infectado a través de Internet de
forma directa. Una revisión del plan de seguridad corporativo sí
evidenciaba varios agujeros potenciales, en su mayoría relacionados
con el uso de portátiles y los usuarios remotos, que pudieron ser
confirmados con posterioridad.

El caso típico de los portátiles consistía en su uso indiscriminado
por parte del usuario tanto en su domicilio particular, donde se
conectaba con él a Internet, así como en la oficina, donde lo
conecta a la red corporativa. El resultado, el portátil se infecta
mientras lo utiliza en casa conectado a Internet, ya que no cuenta
con los sistemas de protección perimetrales corporativos, e infecta
a la empresa cuando lleva el portátil a la oficina y lo conecta
directamente a la intranet o red local.

Otro caso que nos encontramos fue el de los usuarios móviles o
remotos, que bien por teletrabajo o necesidades puntuales,
conectaban con la intranet a través de redes privadas. La historia
era muy similar a la de los portátiles, los equipos utilizados
se infectaron desde Internet, y Blaster lograba posteriormente
infectar a las corporaciones cuando el usuario accedía a los
recursos internos de forma remota desde el sistema ya infectado.

Además de proporcionar herramientas para este tipo de usuarios,
que permiten controlar la política de seguridad de esos sistemas
de forma centralizada y remota, de manera independiente a donde
estos se encuentren (domicilios particulares, usuarios móviles,
etc), Hispasec pudo corroborar el mal estado en que se encuentra
la seguridad interna de las corporaciones, lo que provocó que el
gusano pudiera campar a sus anchas por la intranet causando
estragos.

Recuerdo que hace unos meses, durante las jornadas de
e-Gallaecia 2003, Jesús Cea y yo dejamos en bastante mal lugar
a los antivirus perimetrales. Uno de los motivos de crítica, de manera
independiente a sus debilidades intrínsecas que ya quedaron patentes
en algunas de las demostraciones que realizamos, es que suelen crear
una falsa sensación de seguridad, que lleva a relajar y descuidar
las políticas de seguridad interna, tanto en el ámbito técnico como
desde el punto de vista de las prácticas de los usuarios. De forma
que al final suele ocurrir que se descuidan los antivirus en las
estaciones de trabajo o que el usuario abra todo lo que le llega
confiando que el antivirus perimetral es infalible.

Nadie puede negar de las ventajas de las soluciones de seguridad
perimetrales, ya sean firewalls, antivirus, IDS, etc., pero hay
que ser conscientes de que no pueden ser excusas para relajar
la seguridad local. La experiencia demuestra día a día que son
muchos los ataques que provienen desde el interior, que las
soluciones perimetrales son en algún momento vulnerables y que
debemos contar con que algún atacante consiga acceso remoto,
o que, como en este caso, amenazas diseñadas para Internet terminan
colándose en nuestras intranets.


Bernardo Quintero
bernardo@hispasec.com


Más información:

11/08/2003 - W32/Blaster, un gusano con una alta incidencia
http://www.hispasec.com/unaaldia/1751

27/07/2003 - Predicen gusano tras la publicación de un exploit
http://www.hispasec.com/unaaldia/1736

31/10/2002 - Comentarios sobre los antivirus perimetrales
http://www.hispasec.com/unaaldia/1467

13/08/2002 - Antivirus corporativo: dos (diferentes) mejor que uno
http://www.hispasec.com/unaaldia/1388