Aprendiendo de Conficker: no utilizar contraseñas débiles

Conficker ha ocupado los primeros lugares en los índices de propagación de los últimos dos meses. Como ya vimos, se trata de  un gusano que explota la vulnerabilidad MS08-067 de Microsoft.

Luego de su detección inicial han aparecido nuevas variantes que explotan distintos métodos de propagación.

Una de ellas es la transmisión vía dispositivos de almacenamiento removibles, utilizando el archivo Autorun. Otro de los métodos explotados por el gusano es la propagación a través de recursos compartidos de Windows. Ambas variantes, detectadas por ESET NOD32 como Win32/Conficker.AA/AE,  intentan contactar con el recurso compartido ADMIN$ en el resto de los equipos de la red.

Dicho recurso ofrece acceso a unidades del sistema en el equipo remoto, sólo para usuarios administradores. Para tal fin, el gusano intenta utilizar la identidad local del equipo infectado y, de no resultar exitoso el acceso, obtiene una lista de usuarios en el equipo a infectar y prueba acceder con una lista de más de 200 contraseñas comunes, entre las que se encuentran “123456“, “admin“, “password“, “login” o “default“, entre otras. Es decir, el gusano prueba una por una las contraseñas del listado para verificar si alguna de ellas es la que permite acceder al equipo.

Cabe destacar que este no es el primer código malicioso que utiliza estas técnicas de propagación a través de contraseñas débiles en recursos compartidos. Algunos de los casos que utilizaron esta técnica previamente son el el Win32/Nimda (del año 2002), Win32/IRCBot (del año 2005) o el Win32/Vanbot (del año 2007). Como se puede observar, una técnica con varios años de utilización sigue siendo efectiva, producto de la gran cantidad de usuarios que continúan utilizando contraseñas débiles.

Las consecuencias de utilizar contraseñas débiles son extensas, y la propagación de malware a través de la red es una de ellas. En entornos corporativos, los administradores deben tomar control de las cuentas de todos los sistemas, tanto cuentas de dominio como cuentas locales. Proteger todas las cuentas con contraseñas fuertes es indispensable para mitigar los riesgos de propagación del Conficker.

Por lo tanto, como protección, el usuario debe utilizar siempre contraseñas fuertes y modificar especialmente cualquier contraseña simple o con palabras comúnmente utilizadas.

Se recomienda especialmente consultar la lista de contraseñas utilizadas por Conficker en el informe de Microsoft (pestaña Analysis) y, en caso de estar utilizando alguna de ellas, cambiarlas a la brevedad.

Sebastián

Autor , ESET

  • Pingback: Contraseñas debiles y cómo prevenirlas | Reparacion de PC a Domicilio - Blog()

  • Pingback: No utilizar contraseñas débiles -Gusano Conficker- « Oficina Profesional Contable OPC()

  • Pingback: El eterno problema de las contraseñas débiles o inexistentes | Cualquiera.net()

  • nikitux

    Hola Seba existe alguna forma de crear un autorun.inf con permisos de solo lectura para que no pueda ser reescrito por este virus o cualquier otro?

  • Raúl

    En contra de forzar contraseñas fuertes siempre he recibido la negativa de mis superiores de que los usuarios se les complica y que eso afecta al trabajo normal de la empresa.

    A esta altura de la historia y mientras se buscan formas hacer masivo algún otro medio de identificación, me pregunto si no se debiera asignar en las escuelas y universidades un curso introductorio que contenga ejercicios para inventar contraseñas fuertes propias y ejercicios prácticos de memorizarlas.

    Me cuesta aceptar que un ser humano sólo por permitirle no hacer el esfuerzo, no sea capaz de hacer esto de crear y memorizar varias contraseñas fuertes.

    • Hola Raúl: Efectivamente las contraseñas fuertes son más complejas de recordar que las simples. Sin embargo, existen dos opciones para utilizar contraseñas fuertes y mitigar este inconveniente. El primero consiste en utilizar contraseñas fuertes pero recordables. Por ejemplo, existe una diferencia entre utilizar “password” y “Pas$worD”. La segunda opción es utilizar programas gestores de contraseñas, que permiten almacenar muchas entradas con una única contraseña maestra. De esta forma, el usuario solo debe recordar una única contraseña y el resto son consultadas en el programa. Además, acordamos con vos en que cualquier actividad educativa respecto a la seguridad es positiva y por eso desde ESET trabajamos constantemente en la educación para los usuarios.

      Más información: Plataforma Educativa de ESET Latinoamérica

      Sebastián

  • Pingback: Aprendiendo de Conficker: no utilizar contraseñas débiles « Seguridad en internet()

  • Parchear la red y tener en cuenta politicas de seguridad que sean conocidas, aplicables y faciles de entender por todos los niveles de la empresa son las armas que tenemos para combatirlo. Aunado a todo lo expuesto por ustedes recomiedo en extrema medida actuar como verdaderos ADMINISTRADORES DE RED y aplicar politicas a traves de ACTIVE DIRECTORY (si se manejan de esta forma).

    Se puede detener la opcion ejecutar, instalar aplicaciones, detener la ejecucion de cualquier dispositvo fijo o movil. Todo esto claro, estudiando y viendo su ambiente ya que cada uno es un MUNDO DIFERENTE.

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » Cuidados en el uso de las contraseñas()

Síguenos