domingo, 3 de mayo de 2009

Microsoft mejora la "autoejecución" de Windows 7. ¿Gracias, Conficker?

Microsoft ha decidido mejorar la seguridad de la funcionalidad de "autoejecución" de los medios extraíbles en los que se pueda escribir. Lo hará en Windows 7 y anteriores (a través de actualización se supone). Un nuevo paso en la dirección correcta, pero como siempre, demasiado tarde. ¿Nadie aprende de las lecciones pasadas? Ha tenido que ocurrir un desastre como el Conficker para que Microsoft reaccione. No es la primera vez que un golpe vírico acelera el proceso de fortificación de Windows.

Por fin. A pesar de que no era muy complicado adivinar que la popularidad de las memorias USB en combinación con la autoejecución de Windows traería problemas, esta venía activada por defecto. Los creadores de malware se han venido aprovechando de esta circunstancia desde hace varios años. El uso cada vez mayor de memorias USB no ha hecho más que agravar la situación, transportándonos a tiempos pasados, en los que el disquete era el medio de propagación natural para los virus.

Ahora Windows 7 mejora esta funcionalidad, evitando el diálogo de ejecución automática en memorias USB. Esto no es una desactivación total. Para los dispositivos que en los que se supone no se puede escribir (medios ópticos), seguirá preguntando qué hacer y entre esas opciones permitirá la ejecución automática. Los atacantes encontrarán una forma de aprovechar esto (por ejemplo a través de memorias USB que montan automáticamente una unidad óptica virtual...), pero al menos se da un paso en la dirección correcta.

¿Por qué ahora?

La respuesta corta es Conficker. A pesar de que se sigue diciendo en los medios que el método preferido de este gusano es aprovechar una vulnerabilidad en el servicio RPC de Windows parcheada a finales de 2008, no es del todo cierto. Conficker ha aprovechado como nadie el autorun.inf de Windows, poniendo en jaque a Microsoft y a las casas antivirus. Encontró la forma de ofuscar el contenido de manera que pasara desapercibido para los motores antivirus. También consiguió saltarse la protección del autorun propia de Microsoft, por lo que tuvieron que corregir el fallo a través de un parche porque la medida no se mostraba demasiado efectiva. Conficker además consiguió engañar a muchos usuarios modificando el diálogo de autoplay que muestra el autorun: parecía que ibas a explorar la carpeta cuando en realidad ejecutabas el archivo... ingeniería social bastante sofisticada. Esto es, principalmente, lo que se ha buscado evitar con el cambio introducido en Windows 7.

Aunque el autorun está siendo aprovechado por una buena cantidad de malware desde hace años, desde finales de 2008 Conficker ha conseguido, como ningún otro, encontrar todos los puntos débiles de la funcionalidad y explotarlos con éxito.

También ha influido el hecho de que en los reportes de Microsoft se han materializado, en los últimos meses, escalofriantes cifras sobre malware que a su vez ha aprendido de Conficker y ha potenciado este vector de ataque.

La misma piedra, la misma reacción

A finales de 2001, cuando apareció el sistema operativo XP, Microsoft introdujo de serie una estupenda funcionalidad que cada vez se mostraba más necesaria en aquellos momentos: un cortafuegos. Lo traía deshabilitado por defecto. Es cierto que hubiese resultado un cambio demasiado drástico teniendo en cuenta que se venía de un "sistema operativo" como Windows 98.

Con el Service Pack 2 en verano de 2004, Windows activó el cortafuegos por defecto. Entonces, los culpables fueron en buena parte otros gusanos: Blaster y Sasser. El verano anterior (2003) causaron una terrible epidemia. Blaster fue "culpable" de muchas otras mejoras de seguridad, pero la más clara fue la activación del cortafuegos, que hubiera evitado buena parte del problema que el propio Blaster causó. Y la medida fue efectiva. De un plumazo desaparecieron la mayoría de los gusanos de propagación masiva que accedían a los servicios que escuchaban en los puertos de Windows. La respuesta de los creadores de malware fue el uso de conexiones inversas (que van desde el sistema infectado hacia servidores nodriza) eludiendo así la protección de un cortafuegos entrante. Windows Vista incluye un cortafuegos para las conexiones salientes que podría mitigar un poco el problema pero una vez más, viene desactivado por defecto.

Es una pena que Microsoft no se anticipe a estas catástrofes (en ocasiones previsibles), y suela reaccionar con posterioridad, a base de golpes, cuando el daño ya está hecho. La parte positiva, es que poco a poco, las malas costumbres heredadas de sus "sistemas operativos" excesivamente permisivos y de una Internet mucho menos agresiva, se van corrigiendo.


Sergio de los Santos
ssantos@hispasec.com


Más información:

AutoRun changes in Windows 7
http://blogs.technet.com/srd/archive/2009/04/28/autorun-changes-in-windows-7.aspx

No hay comentarios:

Publicar un comentario en la entrada