Para los lectores frecuentes del blog, o aquellos que lidien día a día con casos de soporte técnico, con seguridad conocerán si les hablo del archivo autorun.inf. Este, alojado en la carpeta raíz de dispositivos extraíbles, es uno de los vectores de ataque más utilizados por los creadores de malware, para propagar sus amenazas por estos medios.

A quienes suelan leer el Ranking propagación de amenazas de ESET Latinoamérica, conocerán que la familia de códigos maliciosos denominada INF/Autorun lidera, ocupando las primeras posiciones, desde hace tiempo. Esto se debe principalmente a la gran cantidad de dispositivos extraíbles que se encuentran infectados, sin que los usuarios sean conscientes de ello.

En las actualizaciones publicadas por Microsoft este último martes, se encuentra disponible un nuevo parche que deshabilita esta función. Dicho fix ha sido liberado disponible para las todas las versiones del sistema operativo de Microsoft anteriores a Windows 7, sistema que ya no cuenta con esta metodología.

A partir de la publicación de esta actualización todos aquellos usuarios que mantengan sus sistemas operativos con las actualizaciones al día, no se encontrarán expuestos a las amenazas que hacen uso de este archivo. Esta debería ser una gran noticia para los usuarios, y Microsoft ha realizado (finalmente) lo que la comunidad de la seguridad le ha solicitado durante años.

Por este motivo, remarcamos una vez más la importancia de realizar de manera periódica la instalación las actualizaciones publicadas, ya sean de la plataforma utilizada o las aplicaciones de terceros instaladas en ella. Más allá de los sistemas que sean actualizados y se encuentren protegidos, hay que remarcar que una gran cantidad de usuarios no cuentan con software licenciado y no podrán efectuar la instalación del mismo.

Esto conlleva a que por más que se encuentre disponible el parche de seguridad, muchos equipos continúan siendo vulnerables a este vector de ataque, de manera similar a a lo que ocurrió con Conficker, el conocido gusano que se propaga desde hace un par de años y todavía continúa infectando sistemas. A más de dos años de la publicación del parche de seguridad que impide la propagación de este gusano todavía se siguen detectando infecciones de Conficker, lo que confirma que muchos usuarios cuentan todavía con su sistema desactualizado o no pueden instalar los parches debido a que no cuentan con software licenciado.

Más allá de la buena noticia, vale destacar que este vector de ataque no va a desaparecer, por los motivos ya expuestos (no todos los usuarios corregirán esta funcionalidad) y, por otro lado, porque a pesar de que muchos creen que este método que solo podía ser utilizado en sistemas Windows, esto no es así.

Algunas versiones de escritorio del sistema operativo GNU/Linux cuentan con funcionalidades similares que podrían derivar en la infección del sistema. Tal vector de ataque ha sido expuesto por Jon Larimer, investigador que demostró en la Shmoocon cómo se puede explotar el Autorun en sistemas Linux, por lo que ya no es solo el sistema operativo de Microsoft el que puede verse afectado por este vector de ataque. Según Larimer, las últimas versiones de Linux, a partir de cambios por su usabilidad, permiten la ejecución automática de archivos al conectar dispositivos extraíbles. Vale destacar, de todas formas, que se trata de una prueba de concepto (demostración de que esto es posible), pero aún no se han observado ataques In-the-Wild explotando esta funcionalidad, aunque no es posible descartarlo para un futuro. Para los que entiendan inglés, aquí les dejo la charla completa con la demostración incluida:

En conclusión, una vez descubierto un vector de ataque, los desarrolladores de códigos maliciosos lo utilizan para la propagación de malware. Es por ello que se remarca tanto la importancia de contar con una solución antivirus con capacidad de detección proactiva como así también la concientización del usuario en los que respecta a materia de seguridad.

Pablo Ramos
Especialista de Awareness & Research

Categories: Alertas, Vulnerabilidades
7 Comments »

Estos últimos días hemos estado hablando de la cercanía a San Valentín (se celebra el próximo lunes 14 de febrero), y de cómo los atacantes utilizan esta celebración para propagar sus amenazas, aprovechando lo despistada que puede ser una persona enamorada.

Aprovechamos la oportunidad, para recordarles cuáles son las 5 formas más sencillas por las que pueden infectarse en estas fechas. Aquí vamos…

1. Malware en redes sociales

En el día de ayer presentamos lo que ha sido durante esta semana, y lo será generalmente durante el año, uno de los principales vectores de ataque basados en Ingeniería Social: las redes sociales. Todos los mensajes relacionados a esta temática, y con mensajes llamativos (ofertas exclusivas, regalos extraordinarios, etc.), deberán ser tomados con cuidado por el usuario, para evitar ser infectado y poder detectar potenciales amenazas.

Los usuarios deben tener especial atención en los mensajes que contengan enlaces, ya es un recurso fundamental utilizado por los atacantes.

2. BlackHat SEO

Luego de las redes sociales, los buscadores son el principal medio utilizado por los atacantes para llevar al usuario a sitios malicioso. Es así que a través de técnicas de BlackHat SEO, hemos detectado varios sitios web maliciosos bien posicionados en los buscadores a partir de búsquedas con palabras claves relacionadas a esta celebración, como puede apreciarse en la siguiente imagen:

Ver más… »

Categories: Alertas, Malware
7 Comments »

Un nuevo Podcast de ESET Latinoamérica, en esta oportunidad para hablar sobre rogue:

Clip de audio: Es necesario tener Adobe Flash Player (versión 9 o superior) para reproducir este clip de audio. Descargue la versión más reciente aquí. También necesita tener activado Javascript en su navegador.

¿Te quedaron dudas? Dejanos tu comentario y te contestamos para seguir hablando del tema…

Categories: Educación, Malware
2 Comments »