Microsoft mejora la «autoejecución» de Windows 7. ¿Gracias, Conficker?
Microsoft ha decidido mejorar la seguridad de la funcionalidad de
«autoejecución» de los medios extraíbles en los que se pueda escribir.
Lo hará en Windows 7 y anteriores (a través de actualización se supone).
Un nuevo paso en la dirección correcta, pero como siempre, demasiado
tarde. ¿Nadie aprende de las lecciones pasadas? Ha tenido que ocurrir
un desastre como el Conficker para que Microsoft reaccione. No es la
primera vez que un golpe vírico acelera el proceso de fortificación de Windows.
Por fin. A pesar de que no era muy complicado adivinar que la
popularidad de las memorias USB en combinación con la autoejecución
de Windows traería problemas, esta venía activada por defecto. Los
creadores de malware se han venido aprovechando de esta circunstancia
desde hace varios años. El uso cada vez mayor de memorias USB no ha
hecho más que agravar la situación, transportándonos a tiempos pasados,
en los que el disquete era el medio de propagación natural para los
virus.
Ahora Windows 7 mejora esta funcionalidad, evitando el diálogo de
ejecución automática en memorias USB. Esto no es una desactivación
total. Para los dispositivos que en los que se supone no se puede
escribir (medios ópticos), seguirá preguntando qué hacer y entre esas
opciones permitirá la ejecución automática. Los atacantes encontrarán
una forma de aprovechar esto (por ejemplo a través de memorias USB que
montan automáticamente una unidad óptica virtual…), pero al menos se
da un paso en la dirección correcta.
¿Por qué ahora?
La respuesta corta es Conficker. A pesar de que se sigue diciendo en
los medios que el método preferido de este gusano es aprovechar una
vulnerabilidad en el servicio RPC de Windows parcheada a finales de
2008, no es del todo cierto. Conficker ha aprovechado como nadie el
autorun.inf de Windows, poniendo en jaque a Microsoft y a las casas
antivirus. Encontró la forma de ofuscar el contenido de manera que
pasara desapercibido para los motores antivirus. También consiguió
saltarse la protección del autorun propia de Microsoft, por lo que
tuvieron que corregir el fallo a través de un parche porque la medida
no se mostraba demasiado efectiva. Conficker además consiguió engañar
a muchos usuarios modificando el diálogo de autoplay que muestra el
autorun: parecía que ibas a explorar la carpeta cuando en realidad
ejecutabas el archivo… ingeniería social bastante sofisticada.
Esto es, principalmente, lo que se ha buscado evitar con el cambio
introducido en Windows 7.
Aunque el autorun está siendo aprovechado por una buena cantidad de
malware desde hace años, desde finales de 2008 Conficker ha conseguido,
como ningún otro, encontrar todos los puntos débiles de la funcionalidad
y explotarlos con éxito.
También ha influido el hecho de que en los reportes de Microsoft se han
materializado, en los últimos meses, escalofriantes cifras sobre malware
que a su vez ha aprendido de Conficker y ha potenciado este vector de
ataque.
La misma piedra, la misma reacción
A finales de 2001, cuando apareció el sistema operativo XP, Microsoft
introdujo de serie una estupenda funcionalidad que cada vez se mostraba
más necesaria en aquellos momentos: un cortafuegos. Lo traía
deshabilitado por defecto. Es cierto que hubiese resultado un cambio
demasiado drástico teniendo en cuenta que se venía de un «sistema
operativo» como Windows 98.
Con el Service Pack 2 en verano de 2004, Windows activó el cortafuegos
por defecto. Entonces, los culpables fueron en buena parte otros
gusanos: Blaster y Sasser. El verano anterior (2003) causaron una
terrible epidemia. Blaster fue «culpable» de muchas otras mejoras de
seguridad, pero la más clara fue la activación del cortafuegos, que
hubiera evitado buena parte del problema que el propio Blaster causó.
Y la medida fue efectiva. De un plumazo desaparecieron la mayoría de
los gusanos de propagación masiva que accedían a los servicios que
escuchaban en los puertos de Windows. La respuesta de los creadores de
malware fue el uso de conexiones inversas (que van desde el sistema
infectado hacia servidores nodriza) eludiendo así la protección de un
cortafuegos entrante. Windows Vista incluye un cortafuegos para las
conexiones salientes que podría mitigar un poco el problema pero una
vez más, viene desactivado por defecto.
Es una pena que Microsoft no se anticipe a estas catástrofes (en
ocasiones previsibles), y suela reaccionar con posterioridad, a base
de golpes, cuando el daño ya está hecho. La parte positiva, es que poco
a poco, las malas costumbres heredadas de sus «sistemas operativos»
excesivamente permisivos y de una Internet mucho menos agresiva, se
van corrigiendo.
fuente: www.hispasec.com