febrero 19, 2007 at lunes, febrero 19, 2007
El código malicioso y las vulnerabilidades

La ola de informes sobre vulnerabilidades en distintos sistemas operativos y aplicaciones ha desatado muchos debates de los expertos pero sobre todo ha logrado convertirse en un nuevo vector de ataque para los “pequeños” desarrolladores de malware.

Desde el gusano de Morris, allá por Noviembre de 1988, hasta la actualidad, muchos han sido los códigos maliciosos que han aprovechado vulnerabilidades de sistemas operativos (y sus aplicaciones) con el fin de facilitar su propagación o la ejecución de sus rutinas.

El gusano de Morris, o el “Gran Gusano”, fue programado por Robert Morris, un estudiante de Cornell University, para reproducirse a través de equipos con sistemas operativos BSD 4 y Sun 3, explotando vulnerabilidades en servicios tales como sendmail, fingerd y rsh/rexec.

Se reprodujo masivamente y logró una gran repercusión, convirtiéndose para muchos, en el primer código malicioso de tipo gusano que aprovechó agujeros de seguridad.

Tras aquel incidente, muchos de los códigos maliciosos de mayor reproducción y que más problemas han causado han sido aquellos que utilizaron vulnerabilidades en servicios de distintos sistemas operativos.

A fines de los 90, se suponía que un gusano de correo electrónico jamás podría ejecutarse por si mismo cuando el usuario leyera el mensaje, sin ejecutar el archivo adjunto del gusano. Esta suposición fue tirada por tierra con la aparición del gusano Bubbleboy, una prueba de concepto creada justamente para ello.

Bubbleboy aprovechaba una vulnerabilidad en Internet Explorer para que, cuando el usuario abriera o previsualizara un mensaje de correo electrónico con Microsoft Outlook, se pudiera ejecutar código sin necesidad de que el usuario realizara otra acción. Después de Bubbleboy y hasta nuestros días, han sido descubiertos numerosos gusanos con funciones similares.

Además de este tipo de vulnerabilidades asociadas al correo electrónico, gusanos como Nimda, Codered o Blaster, han aprovechado diversos agujeros de seguridad en servicios de los sistemas operativos Windows para reproducirse de equipo a equipo, sin necesidad de la interacción con el usuario.

Como se puede observar a diario, muchas vulnerabilidades en sistemas Microsoft son aprovechadas por los códigos maliciosos, pero el software del gigante de Redmond no es el único que se ve afectado. Un claro ejemplo es el gusano Slapper, que explotaba vulnerabilidades en OpenSSL y podía así, funcionar bajo sistemas operativos Linux, copiándose de servidor a servidor, si estos no tenían corregido el agujero de seguridad.

En la mayoría de los casos, los códigos maliciosos que aprovechan problemas de seguridad se reproducen gracias a que los usuarios y administradores no siempre aplican los parches o actualizaciones disponibles para corregir los agujeros de seguridad. Al no hacer esto constantemente, se dejan puertas abiertas para que el malware pueda explotar las vulnerabilidades no corregidas y reproducirse libremente.

A modo de ejemplo, hasta la aparición de la familia de gusanos Zotob en 2005, lo normal era que las vulnerabilidades aprovechadas por los códigos maliciosos antes mencionadas fueran conocidas desde varios meses antes de la propagación del malware, y que hubiera actualizaciones disponibles para solucionar el problema.

En cambio, la primer versión de Zotob comenzó a reproducirse apenas 4 días después de que Microsoft liberara el parche necesario para corregir la vulnerabilidad explotada por el gusano, no dando tiempo a usuarios y administradores para actualizar sus sistemas.

De esta manera, Zotob se reprodujo masivamente en varias versiones distintas, logrando infectar sistemas y redes de empresas y organismos de renombre en todo el mundo, como se pudo ver en la prensa escrita y en línea.

Esta tendencia es cada vez más evidente al aproximarse el segundo martes de cada mes (día de actualización mensual de Microsoft), cuando comienzan a aparecer nuevos exploits que aprovechan vulnerabilidades en las aplicaciones del gigante de Redmond.

Al suceder esto es evidente que la empresa no solucionará el problema hasta la próxima ronda de parches durante el próximo mes (exceptuando contadas situaciones en que esta política fue modificada). Esta situación da un margen de desprotección de al menos un mes, tiempo en el cual es posible desarrollar y difundir nuevo malware.

Además, iniciativas como el mes de los fallos en el Kernel, de los fallos de Apple y otros hasta el recientemente anunciado marzo como el mes de fallos en PHP y la creciente producción de exploits 0-day, no hacen más que agravar la situación.

La asociación entre códigos maliciosos y vulnerabilidades no terminará aquí, dado que el recurso de explotar agujeros de seguridad les brinda cierta libertad a los creadores de malware. Esto es así, debido a que no necesitan de la interacción del usuario, simplemente con encontrar un sistema desactualizado y sin protección adicional, el código malicioso podrá reproducirse libremente.

Otro punto a tener en cuenta es la cantidad de usuarios que actualizan su sistema cuando las actualizaciones ya están disponibles por los fabricantes. Si usted piensa que es uno de los usuarios actualizados responda las siguientes dos preguntas:

1. ¿Cuando lanza Microsoft sus actualizaciones? La respuesta está en este mismo artículo.
2. Cuándo fue la última vez que actualizó su Microsoft Office? Esta pregunta es más complicada y su importancia radica en que, últimamente, MS Office (e Internet Explorer) son las aplicaciones a las que más vulnerabilidades se le han encontrado y por ende, el punto más débil de cualquier sistema: basta un archivo .doc para infectar su sistema con un troyano o un gusano.

Para no caer víctimas de este tipo de códigos maliciosos, los usuarios deben apegarse a la política de actualizar su sistema constantemente, contar con herramientas de protección (antivirus, firewalls, etc) y mantenerse informados a fin de que una epidemia de un malware de este tipo no los tome por sorpresa. Además, esta política debe ser implementada por todos los usuarios de cualquier sistema operativo y aplicación.

Más información
Curso de Seguridad de Eset Latinoamérica:
http://edu.eset-la.com

IORedixs Blog | Powered by Blogger | Entries (RSS) | Comments (RSS) | Designed by MB Web Design | XML Coded By Cahayabiru.com