viernes, 11 de febrero de 2011

Linux y Windows: unidos por el Autorun

Para los lectores frecuentes del blog, o aquellos que lidien día a día con casos de soporte técnico, con seguridad conocerán si les hablo del archivo autorun.inf. Este, alojado en la carpeta raíz de dispositivos extraíbles, es uno de los vectores de ataque más utilizados por los creadores de malware, para propagar sus amenazas por estos medios.

A quienes suelan leer el Ranking propagación de amenazas de ESET Latinoamérica, conocerán que la familia de códigos maliciosos denominada INF/Autorun lidera, ocupando las primeras posiciones, desde hace tiempo. Esto se debe principalmente a la gran cantidad de dispositivos extraíbles que se encuentran infectados, sin que los usuarios sean conscientes de ello.

En las actualizaciones publicadas por Microsoft este último martes, se encuentra disponible un nuevo parche que deshabilita esta función. Dicho fix ha sido liberado disponible para las todas las versiones del sistema operativo de Microsoft anteriores a Windows 7, sistema que ya no cuenta con esta metodología.

A partir de la publicación de esta actualización todos aquellos usuarios que mantengan sus sistemas operativos con las actualizaciones al día, no se encontrarán expuestos a las amenazas que hacen uso de este archivo. Esta debería ser una gran noticia para los usuarios, y Microsoft ha realizado (finalmente) lo que la comunidad de la seguridad le ha solicitado durante años.
Por este motivo, remarcamos una vez más la importancia de realizar de manera periódica la instalación las actualizaciones publicadas, ya sean de la plataforma utilizada o las aplicaciones de terceros instaladas en ella. Más allá de los sistemas que sean actualizados y se encuentren protegidos, hay que remarcar que una gran cantidad de usuarios no cuentan con software licenciado y no podrán efectuar la instalación del mismo.

Más allá de la buena noticia, vale destacar que este vector de ataque no va a desaparecer, por los motivos ya expuestos (no todos los usuarios corregirán esta funcionalidad) y, por otro lado, porque a pesar de que muchos creen que este método que solo podía ser utilizado en sistemas Windows, esto no es así.

Algunas versiones de escritorio del sistema operativoGNU/Linux cuentan con funcionalidades similares que podrían derivar en la infección del sistema. Tal vector de ataque ha sido expuesto por Jon Larimer, investigador que demostró en la Shmoocon cómo se puede explotar el Autorun en sistemas Linux, por lo que ya no es solo el sistema operativo de Microsoft el que puede verse afectado por este vector de ataque. 


Según Larimer, las últimas versiones de Linux, a partir de cambios por su usabilidad, permiten la ejecución automática de archivos al conectar dispositivos extraíbles. Vale destacar, de todas formas, que se trata de una prueba de concepto (demostración de que esto es posible), pero aún no se han observado ataques In-the-Wild explotando esta funcionalidad, aunque no es posible descartarlo para un futuro. 

Fuente: Eset

2 comentarios:

Daniel Steckler dijo...

Cabe mencionar que ademas de ese parche existen aplicaciones que deshabilitan esta función en windows, una de ellas es USB Vacine sobre la cual hice un articulo hace un tiempo
http://cydmatica.blogspot.com/2009/03/vacuna-tu-usb-y-tu-pc.html

Cristhian dijo...

Si el USB vacine anda perfecto..el tema es que todavia hay muchos usuarios que no actualizan o deshabilitan esta funcion..