viernes, 4 de marzo de 2011

AutoRun en Windows: Se acerca el fin de esta funcionalidad (I)

Microsoft acaba de publicar como actualización automática el parche que deshabilita el Autoplay en dispositivos USB en todos sus Windows (solo la versión 7 lo hacía correctamente por defecto hasta ahora). Con este movimiento, da (por fin) el paso final para aniquilar una funcionalidad que ha traído muchos problemas. Repasemos un poco la historia del Autorun.

Aunque Windows 9x disponía de AutoRun, era una especie de sistema primitivo que no podía ser comparado con el de XP. Además, por aquel entonces los dispositivos de almacenamiento USB no eran demasiado populares, mientras que los disquetes todavía se usaban. Por tanto, se puede decir que el verdadero problema comenzó a finales de 2001, con XP y su Autorun y Autoplay. Distingamos entre estos dos conceptos.

Autorun y Autoplay

Autorun: Es la capacidad del sistema operativo (no solo de Windows) de ejecutar dispositivos extraíbles cuando son insertados en el sistema. En Windows, los parámetros de la "autoejecución" se definen en un archivo de texto llamado autorun.inf, que aparece en la raíz de la unidad que se inserta.

Autoplay: Es la funcionalidad propia introducida en XP. Complementa y se basa en Autorun. Analiza el dispositivo que se inserta y según el tipo de archivo que encuentre, lanza un diálogo en el que se sugieren las mejores aplicaciones para reproducirlos. Si se elige una acción por defecto, el usuario no necesitará más este diálogo y el programa elegido se lanzará automáticamente la próxima vez gracias a Autorun y la "memoria" de Autoplay.

Hitos importantes

Ya en febrero de 2000, publicábamos en Hispasec un boletín titulado "Ataques a través del autorun". La funcionalidad se presentaba como el sustituto perfecto de la ejecución automática en disquetes pero aplicada a CDs y memorias USB.

Hacia 2005, las memorias USB se popularizaron y comenzaron a aparecer cada vez más muestras de malware que se propagaban por este medio. Hasta el punto de que, a mediados de 2010, ya se calculaba que un 25% del malware se esparcía a través de estos dispositivos.

Pero Microsoft no vio el problema hasta 2008. Se podía deshabilitar esta capacidad a través de políticas o cambios en manuales en el registro y, por tanto, no consideraba necesario cambiar su postura: Windows lo ofrecía como funcionalidad activa por defecto (como tantas otras facilidades) y quien quisiera protegerse, que lo desactivara. Pero esto no era del todo cierto: incluso desactivado, nunca se estuvo verdaderamente protegido. A partir de ahí comienza un recorrido para su desactivación y mejora que, a trancas y barrancas, se aplica ya automáticamente a todos sus sistemas operativos.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Cómo deshabilitar la funcionalidad de la ejecución automática en Windows
http://support.microsoft.com/kb/967715

02/08/2010 Microsoft publica actualización fuera de ciclo para
vulnerabilidad en los .lnk

03/05/2009 Microsoft mejora la "autoejecución" de Windows 7. ¿Gracias,
Conficker?
http://www.hispasec.com/unaaldia/3844

19/02/2000 Ataques a través del autorun
http://www.hispasec.com/unaaldia/480

27/05/2008 Virus y promiscuidad. Del disquete al USB
http://www.hispasec.com/unaaldia/3503

25% Of Malware Spread Via USB Drives
http://www.informationweek.com/news/security/vulnerabilities/showArticle.jhtml?articleID=227100125

No hay comentarios:

Publicar un comentario en la entrada