Linux y Windows: unidos por el Autorun

Para los lectores frecuentes del blog, o aquellos que lidien día a día con casos de soporte técnico, con seguridad conocerán si les hablo del archivo autorun.inf. Este, alojado en la carpeta raíz de dispositivos extraíbles, es uno de los vectores de ataque más utilizados por los creadores de malware, para propagar sus amenazas por estos medios.

A quienes suelan leer el Ranking propagación de amenazas de ESET Latinoamérica, conocerán que la familia de códigos maliciosos denominada INF/Autorun lidera, ocupando las primeras posiciones, desde hace tiempo. Esto se debe principalmente a la gran cantidad de dispositivos extraíbles que se encuentran infectados, sin que los usuarios sean conscientes de ello.

En las actualizaciones publicadas por Microsoft este último martes, se encuentra disponible un nuevo parche que deshabilita esta función. Dicho fix ha sido liberado disponible para las todas las versiones del sistema operativo de Microsoft anteriores a Windows 7, sistema que ya no cuenta con esta metodología.

A partir de la publicación de esta actualización todos aquellos usuarios que mantengan sus sistemas operativos con las actualizaciones al día, no se encontrarán expuestos a las amenazas que hacen uso de este archivo. Esta debería ser una gran noticia para los usuarios, y Microsoft ha realizado (finalmente) lo que la comunidad de la seguridad le ha solicitado durante años.

Por este motivo, remarcamos una vez más la importancia de realizar de manera periódica la instalación las actualizaciones publicadas, ya sean de la plataforma utilizada o las aplicaciones de terceros instaladas en ella. Más allá de los sistemas que sean actualizados y se encuentren protegidos, hay que remarcar que una gran cantidad de usuarios no cuentan con software licenciado y no podrán efectuar la instalación del mismo.

Esto conlleva a que por más que se encuentre disponible el parche de seguridad, muchos equipos continúan siendo vulnerables a este vector de ataque, de manera similar a a lo que ocurrió con Conficker, el conocido gusano que se propaga desde hace un par de años y todavía continúa infectando sistemas. A más de dos años de la publicación del parche de seguridad que impide la propagación de este gusano todavía se siguen detectando infecciones de Conficker, lo que confirma que muchos usuarios cuentan todavía con su sistema desactualizado o no pueden instalar los parches debido a que no cuentan con software licenciado.

Linux USBMás allá de la buena noticia, vale destacar que este vector de ataque no va a desaparecer, por los motivos ya expuestos (no todos los usuarios corregirán esta funcionalidad) y, por otro lado, porque a pesar de que muchos creen que este método que solo podía ser utilizado en sistemas Windows, esto no es así.

Algunas versiones de escritorio del sistema operativo GNU/Linux cuentan con funcionalidades similares que podrían derivar en la infección del sistema. Tal vector de ataque ha sido expuesto por Jon Larimer, investigador que demostró en la Shmoocon cómo se puede explotar el Autorun en sistemas Linux, por lo que ya no es solo el sistema operativo de Microsoft el que puede verse afectado por este vector de ataque. Según Larimer, las últimas versiones de Linux, a partir de cambios por su usabilidad, permiten la ejecución automática de archivos al conectar dispositivos extraíbles. Vale destacar, de todas formas, que se trata de una prueba de concepto (demostración de que esto es posible), pero aún no se han observado ataques In-the-Wild explotando esta funcionalidad, aunque no es posible descartarlo para un futuro. Para los que entiendan inglés, aquí les dejo la charla completa con la demostración incluida:

[youtube]http://www.youtube.com/watch?v=ovfYBa1EHm4[/youtube]

En conclusión, una vez descubierto un vector de ataque, los desarrolladores de códigos maliciosos lo utilizan para la propagación de malware. Es por ello que se remarca tanto la importancia de contar con una solución antivirus con capacidad de detección proactiva como así también la concientización del usuario en los que respecta a materia de seguridad.

Pablo Ramos
Especialista de Awareness & Research

Autor , ESET

Síguenos