Rai
26/01/2009, 21:03
Alerta por el gusano "Conficker"
[Only registered and activated users can see links]
Conficker está diseñado para explotar una vulnerabilidad ya solucionada por Microsoft en octubre de 2008, detallada en su boletín MS08-067. Se trata de un fallo en el subsistema de Llamados a Procedimientos Remotos (de sus siglas en inglés, RPC), que permite a un atacante ejecutar un código en forma remota sin las credenciales de usuario válido, y de esa manera puede llegar a tomar el control total de un equipo vulnerable.
Si Conficker logra ejecutarse, implementa una serie de contramedidas que degradan parcial o totalmente la seguridad establecida, sin que el usuario o administrador perciba este hecho. Entre ellas se puede mencionar la desactivación de las actualizaciones automáticas y la modificación del sistema operativo para que el propio parche MS08-067, si es instalado después de la infección, no tenga efecto. La mayoría de los usuarios domésticos y algunos administradores de redes despreocupados, consideran que tras instalar dicha actualización, su sistema quedará protegido, pero ello no es así.
"Después de lograr ingresar al sistema, Conficker procede a descargar otros programas maliciosos que puedan estar relacionados con el adware, por lo general, el FakeAlert de la familia Wigon," nos comenta David Harley, Director de Inteligencia Malware de ESET.
Aparte de esto, este malware tiene la capacidad de actualizarse a sí mismo con cada nueva versión disponible, lo que le permite evadir el ser detectado, al menos durante un tiempo. También bloquea los dominios de algunas empresas de seguridad, para evitar que el usuario intente descargar herramientas de limpieza o software antivirus.
El nivel de la epidemia se ha hecho notorio, por los miles de ordenadores en todo el mundo que han sido comprometidos, y que a su vez siguen distribuyendo éste código malicioso por diferentes medios.
"El Win32/Conficker y sus variantes actualmente se propagan utilizando no solo las conexiones de redes, sino también los dispositivos USB. Incluso es capaz de descifrar contraseñas débiles, lo que permite introducirse en los documentos compartidos y llegar a otros ordenadores", nos dice Josep Albors, Jefe Técnico de Ontinet.com.
Cada nueva versión parece tener más capacidad para comprometer otros ordenadores que sus antecesores, aunque esto no es lo que preocupa. El hecho de que haya alcanzado un nivel de epidemia significa que los usuarios tienen que preocuparse más con respecto a la seguridad informática.
Es importante que tanto los usuarios como los administradores de redes, entiendan que si el ordenador ya se encuentra infectado, no alcanza con solamente aplicar el parche de Microsoft para eliminar el problema. Debe realizarse una limpieza exhaustiva del equipo (equipo por equipo si es una red), examinarlo nuevamente con un antivirus y recién después actualizar el sistema. También es necesario aumentar las medidas de seguridad para que no vuelva a ocurrir, por ejemplo utilizar contraseñas fuertes. En algunos casos, cuando la infección ha estado presente desde hace un tiempo, debe considerarse realizar una reconstrucción del sistema desde cero.
En concreto, no hay una solución única para esta epidemia, sino varias que deben ser implementadas una tras otra sin olvidar ninguna. Las medidas de seguridad recomendadas son:
Actualizaciones al día. Esto no se refiere solo a los sistemas operativos de Microsoft, sino a todos los programas instalados en el equipo.
Antivirus actualizado. Todo ordenador debe tener un software de seguridad instalado y actualizado siempre, especialmente si se encuentra en red con otros o comparte archivos.
Los privilegios de acceso a los sistemas deben implementarse de acuerdo al trabajo realizado. Si el ordenador es comprometido con un usuario limitado, el daño causado puede no ser tan grande.
Cortafuegos activo. Aunque la red disponga de una protección en su puerta de acceso a Internet, es importante que cada equipo cuente con su propio cortafuego. Un atacante que acceda a la red, para acceder al sistema debe penetrar cada cortafuego por separado o buscar otra manera de acceso masivo. En el primer caso, la limitación permitiría descubrir el intruso.
[Only registered and activated users can see links]
Conficker está diseñado para explotar una vulnerabilidad ya solucionada por Microsoft en octubre de 2008, detallada en su boletín MS08-067. Se trata de un fallo en el subsistema de Llamados a Procedimientos Remotos (de sus siglas en inglés, RPC), que permite a un atacante ejecutar un código en forma remota sin las credenciales de usuario válido, y de esa manera puede llegar a tomar el control total de un equipo vulnerable.
Si Conficker logra ejecutarse, implementa una serie de contramedidas que degradan parcial o totalmente la seguridad establecida, sin que el usuario o administrador perciba este hecho. Entre ellas se puede mencionar la desactivación de las actualizaciones automáticas y la modificación del sistema operativo para que el propio parche MS08-067, si es instalado después de la infección, no tenga efecto. La mayoría de los usuarios domésticos y algunos administradores de redes despreocupados, consideran que tras instalar dicha actualización, su sistema quedará protegido, pero ello no es así.
"Después de lograr ingresar al sistema, Conficker procede a descargar otros programas maliciosos que puedan estar relacionados con el adware, por lo general, el FakeAlert de la familia Wigon," nos comenta David Harley, Director de Inteligencia Malware de ESET.
Aparte de esto, este malware tiene la capacidad de actualizarse a sí mismo con cada nueva versión disponible, lo que le permite evadir el ser detectado, al menos durante un tiempo. También bloquea los dominios de algunas empresas de seguridad, para evitar que el usuario intente descargar herramientas de limpieza o software antivirus.
El nivel de la epidemia se ha hecho notorio, por los miles de ordenadores en todo el mundo que han sido comprometidos, y que a su vez siguen distribuyendo éste código malicioso por diferentes medios.
"El Win32/Conficker y sus variantes actualmente se propagan utilizando no solo las conexiones de redes, sino también los dispositivos USB. Incluso es capaz de descifrar contraseñas débiles, lo que permite introducirse en los documentos compartidos y llegar a otros ordenadores", nos dice Josep Albors, Jefe Técnico de Ontinet.com.
Cada nueva versión parece tener más capacidad para comprometer otros ordenadores que sus antecesores, aunque esto no es lo que preocupa. El hecho de que haya alcanzado un nivel de epidemia significa que los usuarios tienen que preocuparse más con respecto a la seguridad informática.
Es importante que tanto los usuarios como los administradores de redes, entiendan que si el ordenador ya se encuentra infectado, no alcanza con solamente aplicar el parche de Microsoft para eliminar el problema. Debe realizarse una limpieza exhaustiva del equipo (equipo por equipo si es una red), examinarlo nuevamente con un antivirus y recién después actualizar el sistema. También es necesario aumentar las medidas de seguridad para que no vuelva a ocurrir, por ejemplo utilizar contraseñas fuertes. En algunos casos, cuando la infección ha estado presente desde hace un tiempo, debe considerarse realizar una reconstrucción del sistema desde cero.
En concreto, no hay una solución única para esta epidemia, sino varias que deben ser implementadas una tras otra sin olvidar ninguna. Las medidas de seguridad recomendadas son:
Actualizaciones al día. Esto no se refiere solo a los sistemas operativos de Microsoft, sino a todos los programas instalados en el equipo.
Antivirus actualizado. Todo ordenador debe tener un software de seguridad instalado y actualizado siempre, especialmente si se encuentra en red con otros o comparte archivos.
Los privilegios de acceso a los sistemas deben implementarse de acuerdo al trabajo realizado. Si el ordenador es comprometido con un usuario limitado, el daño causado puede no ser tan grande.
Cortafuegos activo. Aunque la red disponga de una protección en su puerta de acceso a Internet, es importante que cada equipo cuente con su propio cortafuego. Un atacante que acceda a la red, para acceder al sistema debe penetrar cada cortafuego por separado o buscar otra manera de acceso masivo. En el primer caso, la limitación permitiría descubrir el intruso.