martes, 16 de agosto de 2005

Alerta: El gusano Zotob y otras variantes comienzan a causar estragos

Medios como la CNN, ABC y The New York Times se han visto este martes
azotados por un gusano que afectaba a sus sistemas Windows 2000. Tal
y como adelantábamos en Hispasec, el mayor peligro de Zotob y otros
especímenes que explotan una de las últimas vulnerabilidades de
Windows se presenta cuando logran penetrar en redes corporativas.

En los casos reportados en Estados Unidos parece que se trata de un
nuevo gusano que, al igual que Zotob, infecta a los sistemas Windows
2000 que no hayan instalado la actualización MS05-039. Como efecto
colateral los sistemas infectados se reinician constantemente, lo que
impide trabajar con ellos.

Como explicábamos en el primer aviso (http://www.hispasec.com/unaaldia/2486),
Zotob y el resto de especímenes que están apareciendo tienen limitada
su capacidad de propagación a través de Internet, ya que lo usual, y
al menos así lo recomiendan las medidas más básicas de seguridad, es
que el puerto TCP/445 que utiliza el gusano para propagarse no se
encuentre accesible de forma indiscriminada desde Internet.

Sin embargo suele ocurrir lo contrario en las intranets, donde la
seguridad suele ser más relajada porque se piensa que el firewall
perimetral protege de los ataques de Internet y que el resto de
sistemas que comparten la LAN o WAN son confiables. Además de
que en ocasiones las propias aplicaciones o servicios corporativos
requieren que servidores y/o estaciones tengan accesibles esos
puertos.

El problema se presenta cuando dentro de esa red aparece un sistema
infectado por un gusano de características similares a Blaster,
Sasser o Zotob, capaz de propagarse automáticamente sin necesidad
de la intervención del usuario. En cuestión de minutos se extiende
entre todos los sistemas vulnerables e impacta en la informática y
en todos los procesos que dependan de ella. Dependiendo del tipo
de empresa puede llegar a suponer un colapso global.

¿Cómo entra el gusano a la red interna si el firewall perimetral
protege de los ataques de Internet? Pues normalmente entra andando
por la puerta principal del edificio, es decir, basta con que
alguien conecte en la red local su portátil, previamente infectado
en casa o en otra red donde hubiera estado conectado.

Ese es el escenario más típico, aunque no el único, por ejemplo
los casos de teletrabajadores que conectan con el ordenador
particular a la red corporativa, etc.

Ya ocurrió con gusanos similares, como Blaster o Sasser, que fueron
protagonistas de infecciones masivas semanas después de su aparición.
Por ello es importante insistir ahora, a tiempo, para que los sistemas
sean actualizados contra la vulnerabilidad y prevenir incidentes
similares.

De poco o nada sirven los avisos y alertas cuando ya se está
sufriendo el daño. Ahora es el momento de prevenir, existe una amenaza
y la solución es sencilla, hay que actualizar los sistemas Windows.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Worm strikes down Windows 2000 systems
http://www.cnn.com/2005/TECH/internet/08/16/computer.worm/index.html

14/08/2005 - Gusano "Zotob" aprovecha vulnerabilidad en Plug-and-Play de Windows
http://www.hispasec.com/unaaldia/2486