Universidad Abierta y a Distancia de Mxico 1

UNIDAD I SERVICIOS Y APLICACIONES.

ACTIVIDAD I INVESTIGACION DE VULNERABILIDADES DE SISTEMAS OPERATIVOS.
INTRODUCCION.
Una vulnerabilidad son errores que permiten realizar desde afuera actos sin permiso del administrador
del equipo, incluso se puede suplantar al usuario, actualmente, ya hay muchas amenazas que tratan de
accesar remotamente a los ordenadores, ya sea para hacerlos servidores ilegales de Spam o para robar
informacin, de los agujeros ms famosos est el LSASS y el de SVSHOST, de los cuales el Sasser y
Blaster se diseminaron rpidamente.
El presente trabajo de investigacin est basado en los trabajos realizados por el CCN-CERT (Centro
Criptolgico Nacional el cual se encuentra regulado por el Centro Nacional de Inteligencia del Gobierno
Espaol y como por el Informe de Inteligencia de Seguridad de Microsoft.
Al final de este trabajo se presenta una conclusin con todas las medidas de seguridad que hacen de
un sistema no un sistema seguro sino un sistema con menos vulnerabilidades.
RIESGOS DE FIN DE SOPORTE DE WINDOWS XP.
En 2002 Microsoft present su poltica de Ciclo de Vida de Soporte con el fin de ofrecer una mayor
transparencia y previsibilidad a la hora de explicar las opciones de soporte para sus productos. Cada
producto de Windows tiene un ciclo de vida que comienza cuando se lanza un producto y termina
cuando ya no se vende o no tiene soporte.
Siguiendo esta poltica, los productos para empresa y desarrolladores, entre los cuales se incluyen los
sistemas operativos Windows y Microsoft Office, disponen de un mnimo de 10 aos de soporte (5 de
soporte estndar y 5 ms de soporte extendido) en el soporte a nivel de service pack.
Por otro lado, hay que tener en cuenta que a partir de 2012 la mayora de los fabricantes de hardware
OEM (Original Equipment Manufacturer) dejaron de dar soporte a Windows XP en la mayor parte de
sus nuevos modelos de PC.




Universidad Abierta y a Distancia de Mxico 2

El uso de Windows XP supone no recibir soporte de ningn tipo desde Microsoft, ni actualizaciones de
seguridad ni parches de resolucin de incidencias. Por todo ello, los sistemas corporativos se hacen
vulnerables y pueden exponer a un Organismo a graves amenazas para la seguridad de la informacin.
Adems ser ms difcil adquirir o actualizar software que ofrezca nuevas funcionalidades, debido a
incompatibilidades con Windows XP.
Riesgos inherentes fuera del soporte oficial de Microsoft.
Los riesgos a los que se exponen las plataformas son:
Windows XP se convertir en un blanco fcil para explotar vulnerabilidades una vez dejen de
publicarse actualizaciones de seguridad por parte de Microsoft. Los atacantes y creadores de
cdigo daino se centrarn especialmente en sistemas XP, con la certeza de que a partir del 8
de abril de 2014 ninguna vulnerabilidad ser parcheada y sus ataques tendrn siempre xito.
Tras la publicacin por parte de Microsoft de actualizaciones de seguridad para Windows 8 y
Windows 7, los atacantes podran realizar ingeniera inversa de los mismos para comprobar qu
vulnerabilidades son parcheadas y comprobar si las mismas estn presentes en Windows XP. En
caso de ser as, el atacante tendra garantizado el xito de una posible intrusin a un sistema
con Windows XP.
Cualquier red corporativa con un solo PC con el sistema operativo Windows XP estar en
riesgo. Una vez comprometido ese equipo podr ser utilizado como trampoln para infectar al
resto de equipos independientemente de la tecnologa de su sistema operativo.
Existe un gran nmero de vulnerabilidades conocidas no parcheadas. Se estima que existe
tambin un importante nmero de vulnerabilidades que an no son conocidas (da cero).
Es muy probable que algunos atacantes mantengan a la espera programas para ataques
remotos que se sirvan de fallos de seguridad no publicados y los utilicen cuando haya finalizado
el ciclo de vida de Windows XP. Esto implica que cualquier Organismo estara desprotegido
indefinidamente ante este tipo de ataques.
El mero hecho de mantener actualizados los antivirus comerciales no ser suficiente. Las tasas
de infeccin, publicadas por Microsoft en el ao 2012, son el doble en sistemas Windows XP
que en sistemas Windows 7. Cabe mencionar la posibilidad de que los fabricantes de software
antivirus dejen de actualizar sus soluciones para Windows XP.




Universidad Abierta y a Distancia de Mxico 3

A da de hoy, siguen apareciendo nuevas vulnerabilidades que permiten al atacante tomar
control de los sistemas de forma remota. A modo de ejemplo, el NIST estadounidense ha
publicado 28 de estas vulnerabilidades tan slo en los 3 primeros meses de 2013.
Un usuario interno malintencionado podra saltarse las protecciones implementadas por los
administradores de la red y tomar control de la misma ante la falta de soluciones de seguridad
apropiadas por desactualizacin.
Adicionalmente, las nuevas capacidades de los ordenadores no son aprovechadas por Windows XP. La
mayora de los nuevos equipos tienen caractersticas que no existan, o estaban sin madurar, cuando
se interrumpieron las mejoras de los service packs para Windows XP.
Adems, hoy en da, la mayora de los equipos vienen con un mnimo de 4 GB de memoria, que un
sistema operativo normal Windows XP de 32 bits no puede gestionar.
INFORME DE VULNERABILIDADES.
Nivel de Severidad de las Vulnerabilidades.
La siguiente grfica muestra el nmero de vulnerabilidades documentadas y su nivel de severidad a lo
largo del semestre, periodo durante el cual se emitieron un total de 2112. Los niveles de severidad de
las vulnerabilidades publicadas aparecen en la siguiente figura.





Universidad Abierta y a Distancia de Mxico 4

Segn el grfico anterior es posible observar que, durante todo el periodo analizado, las
vulnerabilidades que ms aparecen son las correspondientes al nivel de gravedad alta y media, en lnea
con informes anteriores.
Se puede hacer una lectura un poco pesimista desde el punto de vista de que, si el mayor nmero de
vulnerabilidades tienen un nivel de riesgo alto o medio, su explotacin por parte de atacantes podra
provocar efectos graves. Tambin es un indicador de la importancia de las actualizaciones de
seguridad, como mecanismo de proteccin.
Productos ms afectados.
La siguiente figura muestra los productos ms afectados por las vulnerabilidades del semestre. Hay
que destacar que slo aparecen aquellos productos afectados por el mayor nmero de nuevas
vulnerabilidades.

En este semestre, repite Google Chrome en el primer puesto destacado, aunque con menos diferencia
respecto a los dems productos que en el semestre anterior.
Hay que destacar la subida de sistemas operativos, Linux e IOS, lo que implica que hay que
replantearse el mito de que hay sistemas operativos que son ms seguros y, en todos los casos, utilizar
las actualizaciones.




Universidad Abierta y a Distancia de Mxico 5

Tambin hay que sealar que se ha colocado en el tercer puesto las vulnerabilidades de un sistema
operativo para dispositivos mviles de Apple. No parece tan importante el hecho de que sea de Apple,
sino que es un sistema operativo de dispositivos mviles, lo que puede ir dando pistas sobre qu
productos se est profundizando en su investigacin. Tambin, implica que se ha de cuidar la
seguridad de estos dispositivos (no slo de Apple, tambin Android, Windows Mobile y dems
dispositivos mviles), ya que los cibercriminales estn escribiendo malware para este tipo de
dispositivos, motivado por el aumento de estos, adems de por el aumento de lneas de datos o
tendencias como BYOD.
Al igual que en el anterior semestre, los navegadores tambin estn arriba y eso, unido a que la mayor
parte son multiplataforma, hace que sean un objetivo de primera para los ciberdelincuentes.
Fabricantes ms afectados.
La figura muestra los diez fabricantes ms afectados por las vulnerabilidades detectadas durante el
trimestre.

Aunque en el primer puesto este semestre aparece Cisco, hay que resaltar que, de 10 fabricantes, 8
repiten en el Top Ten.
Los primeros fabricantes son los que ms productos tienen en el mercado. De esta forma es normal
que por el nmero de vulnerabilidades totales, figuren en los primeros puestos.




Universidad Abierta y a Distancia de Mxico 6

Tambin hay que hacer notar la importancia de que en el ranking aparece un fabricante no
habitual, Siemens. El motivo es simple, actualmente se est poniendo un foco de atencin muy
importante sobre la proteccin de infraestructuras crticas y Siemens fabrica componentes
electrnicos para sistemas de automatizacin, estando muy implicado en este tema. Estos productos,
que ahora mismo estn controlados por ordenadores y conectados a lneas de comunicacin, estn
expuestos a intentos de intrusin y ataques a travs de Internet. Por ese motivo, se est investigando
su seguridad de forma ms profunda, lo que implica que podran continuar apareciendo ms
vulnerabilidades en este tipo de sistemas.
Vulnerabilidades ms comunes segn su tipo.
El siguiente grfico muestra los tipos de vulnerabilidades ms comunes registradas en el semestre y la
proporcin que, cada uno de ellos, representa sobre el total de vulnerabilidades registradas.

El igual que en el caso de los fabricantes, los tipos de vulnerabilidad repiten respecto del informe
pasado, aunque hay alguna variacin de puesto, no hay ninguna muy llamativa. Tambin son
prcticamente iguales los porcentajes de tipos de vulnerabilidad.




Universidad Abierta y a Distancia de Mxico 7

Siguen teniendo una gran importancia las vulnerabilidades relacionadas con la navegacin por Internet
y la gestin de la memoria, que en porcentaje son la mayora de las presentes en el grfico.
Como conclusin hay que darle a la navegacin por Internet la importancia que tiene, esto implica
navegadores actualizados y alguna herramienta de control de las pginas web por las que se navega.
APROVECHAMIENTO DE VULNERABILIDADES DE WINDOWS EN 2013.
En el ltimo ao, Microsoft (MS) corrigi una gran cantidad de vulnerabilidades para Windows y sus
componentes, as como para Office. Algunas de estas vulnerabilidades eran utilizadas por atacantes
para propagar cdigos maliciosos antes de que estuviera disponible la revisin para el software al cual
estaba dirigida la amenaza; en otras palabras, lo que llamamos un ataque 0-day. La mayora de estos
ataques se concentraban en fallas de Internet Explorer.
Podemos decir que el ao 2013 fue notable por el surgimiento de vulnerabilidades 0-day que
principalmente se utilizaron en ataques dirigidos. En este caso, los criminales informticos trabajaron
en el desarrollo de exploits (programas que aprovechan vulnerabilidades), pero en lugar de hacerlo
para propagar cdigos maliciosos, el propsito era emplearlos en ataques a usuarios especficos a la
vez que intentaban alcanzar ciertos objetivos, algunos de los cuales eran conocidos solo por los
mismos atacantes.
En la tabla que aparece a continuacin, se muestran las estadsticas de las vulnerabilidades que
Microsoft corrigi el ao pasado.




Universidad Abierta y a Distancia de Mxico 8


Las vulnerabilidades mostradas en rojo se utilizaron in the wild; es decir, se usaron en ataques reales a
usuarios finales antes de que estuviera disponible una revisin.
La siguiente tabla brinda ms informacin sobre las vulnerabilidades para las cuales hubo exploits in
the wild en el ltimo ao (antes de que apareciera la revisin correspondiente).





Universidad Abierta y a Distancia de Mxico 9

Como se puede observar, los atacantes lograron usar algunos archivos ejecutables del sistema
Windows que no contaban con soporte para la tcnica de seguridad Seleccin aleatoria del diseo del
espacio de direcciones (ASLR) en la construccin de dispositivos para ataques de Programacin
orientada al retorno (ROP) y, de esa forma, lograban evadir la ASLR. Un ejemplo de stos es la
biblioteca hxds.dll de Microsoft Office 2007-2010, que se compil sin la ASLR. Como parte del boletn
de seguridad de Microsoft publicado el segundo martes de diciembre, la empresa corrigi esta falla
(denominada Omisin de caracterstica de seguridad) con la revisin MS13-106, suministrndoles el
nivel apropiado de proteccin a los usuarios de Windows que trabajan con esta versin de Office.
La siguiente lista contiene informacin sobre las Recomendaciones de seguridad (RS) publicadas
durante el ltimo ao.

La siguiente tabla comparativa muestra los componentes de Windows que se corrigieron con mayor
frecuencia durante 2013. Tenga en cuenta que las versiones de Microsoft Windows actualmente
soportadas incluyen desde Windows XP con Service Pack 3 a Windows 8.1 en equipos de escritorio, y
desde Windows Server 2003 a Windows Server 2012 R2 para servidores.




Universidad Abierta y a Distancia de Mxico 10


Abajo se muestra la misma clasificacin incluyendo Office (2003 2013 para Windows)

El siguiente grfico compara las actualizaciones y las vulnerabilidades a las que se dirigieron en mayor
parte.




Universidad Abierta y a Distancia de Mxico 11


Infeccin por pgina Web Drive-by download: es el mtodo principal para distribuir cdigo oculto
mediante la redireccin a paquetes de exploits.
Escala de privilegios para usuarios locales (Elevacin de privilegios, LPE): es una forma de obtener los
privilegios mximos en Windows; normalmente se asocia con el lanzamiento del cdigo de modo
kernel para evadir restricciones de modo de usuario (tambin conocido como escape a las
restricciones de modo de usuario).
Ejecucin remota de cdigo (RCE): los atacantes usan este mtodo, por ejemplo, en infecciones drive-
by, pero en muchos casos se puede activar no solo mediante una pgina Web sino tambin por correo
electrnico, mensajera instantnea, etc.
Como podemos ver en la tabla de arriba (Emisin de actualizaciones / tendencia de aprovechamiento
de vulnerabilidades en 2013), los productos como el explorador Internet Explorer, .NET Framework y el
complemento para Silverlight son utilizados por los atacantes para la ejecucin remota de cdigo y, de
hecho, en la mayora de los casos, se lleva a cabo mediante el explorador. Los atacantes usan una
pgina Web especialmente diseada con contenido malicioso que aprovecha una vulnerabilidad del
software antes mencionado. Eventualmente, esta pgina se usa para la distribucin de malware. El
usuario puede seleccionar una opcin especial para Internet Explorer que mitiga los exploits. Esta
opcin se llama Enhanced Protection Mode, EPM (Modo de proteccin mejorado) o modo de caja de
arena.




Universidad Abierta y a Distancia de Mxico 12

Abajo se muestran las opciones de caja de arena de Internet Explorer 11 para utilizar en Windows 8 y
versiones posteriores (solo para ediciones de 64 bits).

La primera opcin, llamada Enhanced Protected Mode (EPM), habilita el modo de restriccin
AppContainer para procesos en las pestaas del explorador. La segunda opcin, denominada Enable
64-bit processes for Enhanced Protection Mode (Habilitar procesos de 64 bits para el Modo de
proteccin mejorado) habilita el uso de procesos nativos de 64 bits para las pestaas del explorador.
En forma predeterminada, en las versiones de 64 bits de Windows 8 y posteriores, Internet Explorer
ejecuta los procesos de las pestaas del explorador como si fueran procesos de 32 bits, lo que los hace
ms vulnerables a recibir ataques del tipo heap spraying, una tcnica utilizada por los exploits para
facilitar la ejecucin arbitraria de cdigo. Los atacantes utilizan esta tcnica para evadir las prcticas de
mitigacin de la ASLR. El espacio de direcciones virtuales en 64 bits es mucho ms grande que el
espacio de direcciones de 32 bits, y la ASLR es ms segura en el contexto de dicho proceso.
Los atacantes tambin pueden aprovechar las vulnerabilidades de las aplicaciones incluidas en el
paquete de software de Microsoft Office para instalar cdigos maliciosos en forma remota. Al observar
las actualizaciones emitidas para Office durante el ltimo ao, podemos ver que todas tuvieron como




Universidad Abierta y a Distancia de Mxico 13

objetivo eliminar vulnerabilidades que permitan la ejecucin remota de cdigo. En este escenario, los
atacantes crean un archivo de Office especialmente diseado, por ejemplo, un archivo .DOCX para
Microsoft Word, y se lo envan a la vctima en un correo electrnico utilizando phishing. El mensaje
debe ser capaz de convencer al usuario de que desea abrir un archivo adjunto malicioso. Cuando se
abre el archivo en una versin vulnerable de Office, el equipo del usuario queda infectado con
software malicioso.
Tenga en cuenta que las versiones ms nuevas de Microsoft Word 2013 y Outlook 2013 contienen
caractersticas de seguridad especiales para mitigar el aprovechamiento de vulnerabilidades. Estas
caractersticas prohben que la aplicacin realice funciones potencialmente peligrosas. Por ejemplo,
Outlook inicia el proceso de Word con un Nivel de integridad bajo y con privilegios reducidos, lo que
restringe la capacidad de shellcode de ejecutar funciones del sistema.
Los componentes del sistema operativo que se ejecutan en modo kernel (KM), el controlador del
subsistema de la interfaz grfica del usuario de Windows win32k.sys, los controladores del sistema
(controladores KM), y ntoskrnl (NTOS, kernel del sistema operativo), son utilizados por los atacantes
para elevar el nivel de privilegios del sistema con el objetivo de ejecutar cdigo en modo kernel que
pueda evadir las restricciones de Windows (escape a las restricciones de modo de usuario). Entre estos
componentes, el controlador win32k.sys fue el que tuvo ms revisiones durante el ltimo ao. La barra
de color representa los niveles de revisiones en 2013; la barra gris adyacente representa los niveles en
2012.





Universidad Abierta y a Distancia de Mxico 14

Como podemos observar, en 2013 Microsoft repar muchas ms vulnerabilidades que en 2012. Esta
tendencia se evidencia principalmente con el controlador del subsistema de la interfaz grfica del
usuario de Windows (win32k.sys) y el explorador Internet Explorer. Tenga en cuenta que en octubre, la
empresa lanz una nueva versin de Windows (Windows 8.1) y del explorador Internet Explorer 11.
Internet Explorer 11 tambin se puede instalar en Windows 7.
La siguiente tabla muestra las vulnerabilidades (0-day al momento del aprovechamiento de las
vulnerabilidades) que usaron los atacantes para distribuir cdigos maliciosos. El ao pasado puede
llamarse con razn el ao de los ataques dirigidos y de los ataques Watering Hole. Para muchos de
ellos, los atacantes investigaron especialmente las vulnerabilidades y las emplearon en forma exclusiva
para ataques a una regin o empresa especfica. En particular, los ataques Watering Hole se usaron
para comprometer sitios web que reciban activamente visitas de presuntas vctimas en diversas
regiones del mundo. Creemos que esta tendencia continuar en 2014.

La columna con asterisco (*) denota el mes en que la vulnerabilidad se aprovech por primera vez en
un ataque dirigido; un guion en esa columna significa que no hay datos disponibles.
El ltimo ao demostr que Microsoft prest atencin a las tecnologas de proteccin para neutralizar
los exploits. Hubo tres innovaciones principales que tuvieron como objetivo proteger la pgina nula
(asignacin de memoria), quitar punteros en funciones ntdll de SharedUserData (mitigacin de la




Universidad Abierta y a Distancia de Mxico 15

omisin de ASLR) y prohibir la suministracin de informacin sobre punteros a objetos del kernel para
aplicaciones no confiables en Windows 8.1 (mitigacin de la omisin de KASLR).

La asignacin de memoria con direccin 0 (usando ntdll!ZwAllocateVirtualMemory) facilita mucho la
vida de los atacantes, especialmente si estn interesados en la elevacin de privilegios. Luego de que el
atacante asigna esta regin de la memoria, necesita encontrar un controlador vulnerable que pueda
ejecutar cdigo desde esta direccin mediante un error.
Otra mejora interesante de Windows 8 es que todos los archivos compilados por Microsoft incluyen
soporte de ASLR mejorada o fortalecida o ASLR de alta entropa (HEASLR). HEASLR es una nueva
caracterstica que apareci por primera vez en Windows 8. Mejora el enfoque normal de la ASLR
mediante el uso de una entropa de direccin ms fuerte para operaciones de memoria como la
asignacin de memoria virtual, la carga de imgenes, la asignacin de la pila de memoria, etc.





Universidad Abierta y a Distancia de Mxico 16

Todos los archivos de sistema compilados por Microsoft en Windows 8+ son compatibles con HEASLR
para mejorar la proteccin ante el potencial aprovechamiento de vulnerabilidades (enlace
/HIGHENTROPYVA).

MEJORAS DE SEGURIDAD DE WINDOWS 7
User Access Control
El UAC (Control de Acceso a Usuarios) es la funcionalidad que permite controlar los privilegios de los
usuarios que hacen uso del sistema cuando se ejecutan tareas administrativas que accedan o
modifiquen archivos crticos del sistema.
En contraposicin con Windows XP, en donde se instala por defecto una cuenta de usuario con
permisos administrativos (e irrestrictos) al sistema; UAC ofrece una capa de proteccin importante,
denegando la ejecucin de tareas que pueden ser maliciosas o indeseadas, sin la autorizacin del
usuario.
Aunque fue introducido en Windows Vista, se han realizado una serie de modificaciones en esta nueva
versin del sistema operativo. Debido al gran salto que implic para los usuarios la incorporacin de




Universidad Abierta y a Distancia de Mxico 17

esta funcionalidad, la misma recibi muchas crticas por su claro impacto en la usabilidad del sistema.
Por tal motivo, Microsoft ha introducido algunos cambios en esta nueva versin.
En las configuraciones por defecto:
UAC no se activar cuando el sistema detecte que los permisos fueron solicitados por el mouse o el
teclado. Slo se activar cuando identifique la necesidad de tareas administrativas por parte de
procesos o acciones automatizadas.
Permisos administrativos solicitados por aplicaciones firmadas a travs de un certificado digital,
tampoco activarn el UAC.
En otras palabras, Windows 7 ha moderado el Control de Acceso a Usuarios, equilibrando la relacin
seguridad/usabilidad, en funcin de los pedidos de los propios usuarios para no recibir tantas alertas
durante el uso de la computadora. Cabe destacar que el UAC puede configurarse para alertar ante
todo tipo de acceso administrativo al sistema, y es recomendable hacerlo.

El UAC es una caracterstica de seguridad de mucha utilidad para la prevencin de cdigos maliciosos.
Por ejemplo, familias de troyanos como Win32/Qhost, que intentan utilizar tcnicas de pharming local
modificando el archivo hosts del sistema, no podrn realizar sus tareas sin la autorizacin del usuario,
si es que ste tiene correctamente configurado el Control de Acceso a Usuarios. Esto es extensible a




Universidad Abierta y a Distancia de Mxico 18

otras familias de cdigos maliciosos que modifican archivos del administrador del sistema (no el
entorno del usuario).
Para enfrentar esta barrera de seguridad, los creadores de cdigos maliciosos seguramente utilizarn
la Ingeniera Social como principal tcnica: si el usuario desea ejecutar el archivo, l mismo autorizar
la ejecucin del mismo en el sistema. Adems, en las versiones Beta de Windows 7 existieron pruebas
de concepto para engaar al UAC (en su configuracin por defecto), simulando que acciones de
procesos automticos aparenten ser ejecutados por el usuario (mouse y teclado). Aunque esta
vulnerabilidad ya fue reparada en la versin final de Windows 7, la explotacin de vulnerabilidades (en
caso que apareciera una nueva) ser un factor de provecho por el malware.
El fin del Autorun: Autoplay
La ejecucin automtica de archivos ante la conexin de dispositivos USB (o similares), tambin
conocida como Autorun, ha sido una de las funcionalidades ms aprovechadas por creadores de
malware para infectar sistemas. Diversos gusanos han utilizado estos dispositivos como mtodo de
propagacin. Desde el gusano Conficker hasta otra gran cantidad de variantes (identificadas
genricamente por ESET NOD32 como INF/Autorun y Win32/Autorun) que han ocupado los primeros
puestos en los rankings de deteccin realizados mensualmente por ESET Latinoamrica.
Luego de haber liberado parches para deshabilitar el Autorun en las versiones anteriores del sistema
operativo, Microsoft ha decido eliminar por defecto la ejecucin automtica de dispositivos USB en
Windows 7, suplantndola por una nueva funcionalidad: Autoplay. Bsicamente, sta consiste en que
slo los dispositivos pticos, tales como CD o DVD, utilizarn la opcin de ejecutar automticamente
archivos al ser insertados. Otro tipo de medios, como dispositivos USB, tarjetas de memoria, u otros;
no contarn con esta alternativa, visualizando el usuario solo las opciones principales de navegacin,
tal como se muestra en la siguiente imagen:




Universidad Abierta y a Distancia de Mxico 19


Como ya se mencion, esta funcionalidad tendr un alto impacto en todos los cdigos maliciosos
(especficamente gusanos) que utilizaban los dispositivos USB como mtodo de propagacin.
Cabe destacar que existen ciertas metodologas para continuar explotando este vector de ataque, por
ejemplo simulando que el dispositivo USB es en realidad un medio CD o DVD, tal como indica el blog
de Microsoft sobre Windows 7. Tambin sern vulnerables aquellos usuarios que deshabiliten el
Autoplay.
Biometric Framework
La funcionalidad Windows Biometric Framework (WBF) es una adicin a Windows 7 que ofrece soporte
para la utilizacin de dispositivos biomtricos de lectura de huellas dactilares.
Aunque esta funcionalidad parece no tener impacto directo en los cdigos maliciosos, cabe destacar
que la utilizacin de contraseas fuertes es una prctica de gran importancia para versiones anteriores
de Windows, y que debe seguir siendo considerada para cualquier sistema que requiera clave de
acceso.
Sin embargo, en tanto y en cuanto se comiencen a utilizar soportes de login que no requieran usuario y
contrasea, los usuarios podrn tener una capa de proteccin ante cdigos maliciosos diseados para
robar claves de acceso, como Win32/Mebroot.
MALWARE EN WINDOWS 7




Universidad Abierta y a Distancia de Mxico 20

Aunque, como se mencion en la seccin anterior, muchas familias de cdigos maliciosos vern
afectada su propagacin con las nuevas caractersticas de seguridad de Windows 7; otras an siguen
funcionando en la nueva versin del sistema operativo. Se describen a continuacin los principales
vectores de ataque que continan vigentes.
Ingeniera Social, y las medidas de siempre
En pos de la usabilidad, Windows 7 contina ocultando las extensiones de los archivos. Esta
caracterstica, junto con la utilizacin de archivos como ocultos, puede ser utilizada por cdigos
maliciosos para engaar al usuario y lograr la ejecucin. Esta medida puede ser considerada
controversial, ya que mantiene un vector de ataque de sencilla remediacin. Al igual que en las
versiones anteriores del sistema operativo, el usuario puede configurar el sistema para ver las
extensiones de todos los archivos.
Particularmente los troyanos sern los cdigos maliciosos que aprovecharn en mayor medida estas
caractersticas.
Tambin el malware del tipo rogue, que hace un amplio uso de la Ingeniera Social, podr ser
ejecutado en Windows 7, y por lo tanto es de esperarse que su tasa de crecimiento contine en
ascenso con la nueva versin del sistema operativo, as como ya lo ha demostrado en algunos de otro
tipo como Mac OS X. En la siguiente imagen se muestra un sistema infectado con la amenaza
detectada por ESET NOD32 como Win32/Adware.VirusAlarmPro.





Universidad Abierta y a Distancia de Mxico 21

Explotacin de vulnerabilidades
Independientemente de cualquier mejora de seguridad, la aparicin de vulnerabilidades es siempre un
vector de ataque que puede ser utilizado por gusanos para su propagacin. Por lo tanto, a medida que
aparezcan vulnerabilidades en el nuevo sistema operativo, aparecern los exploits y, en consecuencia y
de ser aplicable, gusanos que aprovechen los mismos para infectar sistemas.
Ante la explotacin de una vulnerabilidad que permita ejecutar un cdigo remoto, las medidas de
seguridad antes expuestas no sern aplicables y un gusano de este tipo podr ejecutar las acciones que
desee, incluso si stas son crticas o administrativas. Una epidemia como la ocurrida con el gusano
Conficker podra ocurrir en Windows 7, siempre y cuando los usuarios no sean conscientes de la
importancia que las actualizaciones de seguridad tienen.

Infeccin del entorno del usuario
As como el UAC previene la ejecucin de tareas administrativas, que por lo general infectan, alteran o
modifican archivos del sistema; ciertos cdigos maliciosos no necesitan de estos recursos para lograr
su cometido. Particularmente se destacan aquellos malware del tipo bot, diseados para convertir a
los sistemas en equipos zombis, y que por lo general slo necesitan ejecutarse al inicio de sesin. Es
decir, slo necesitan alterar el entorno del usuario, sin necesidad de permisos administrativos (sobre
todo el sistema).
Cdigos maliciosos como las familias Win32/Zbot o Win32/Agent pueden ser ejecutados en esta
versin del sistema operativo. Algunas variantes de estos fueron probadas con xito sobre la versin
lanzada de Windows 7.
RESUMEN DE INVESTIGACION.
CONCLUSIN
En las secciones anteriores se detall que ciertos cdigos maliciosos no podrn ser ejecutados con las
nuevas caractersticas de seguridad de Windows 7, mientras que otros s podrn hacerlo.




Universidad Abierta y a Distancia de Mxico 22

Independientemente de la seleccin realizada, en la cual se identificaron las principales familias en
cada categora, cabe destacar que existe una regla general: el lanzamiento de una nueva versin del
sistema operativo lograr que ciertos cdigos maliciosos sean controlados y otros no.
Este anlisis radica sobre las familias de malware ya conocidas, pero es relevante destacar que,
conforme los usuarios comiencen a utilizar Windows 7, nuevas familias de malware pueden aparecer,
siendo destinadas nicamente a esta nueva versin y con nuevos vectores de ataque hasta el
momento no explotados.
De todas maneras, vale destacar los esfuerzos de Microsoft por mejorar la seguridad de su sistema
operativo, as como tambin recordar la importancia de mantener sus sistemas protegidos con
soluciones de seguridad con capacidades de deteccin proactivas, combinadas adems con las buenas
prcticas y la concientizacin de los usuarios.
Como podemos ver, durante el ltimo ao, Microsoft corrigi muchas vulnerabilidades, la mayora de
las cuales estaban relacionadas a la ejecucin no autorizada o remota de cdigo, que les permite a los
atacantes comprometer sistemas vulnerables. Asimismo, la empresa introdujo funcionalidades de
seguridad tiles, que complican ms el proceso de aprovechamiento de vulnerabilidades. Por estas
razones, muchos de los exploits que emplean dichos mtodos para aprovechar vulnerabilidades no
seguirn funcionando en las versiones actualizadas del sistema operativo Windows. Esto hace que
Windows 8 y 8.1 sean una buena opcin, por ejemplo, porque Windows 8. incluye caractersticas de
seguridad integrales que solo estn disponibles para otras versiones del sistema operativo Microsoft si
el usuario cuenta con la posibilidad de instalar la actualizacin de seguridad correspondiente. Les
recomendamos a nuestros clientes instalar las actualizaciones de seguridad lo antes posible tras su
lanzamiento para ayudar a que se mantengan protegidos.









Universidad Abierta y a Distancia de Mxico 23





Bibliografa.
Informe de vulnerabilidades INTECO, Ministerio de Industria, Turismo y Comercio de Espaa (2012).
Informe de Inteligencia de seguridad de Microsoft, principales conclusiones Microsoft (2012)
Seguridad en Windows 7, Sebastin Bortnik, Analista en Seguridad de ESET, para Latinoamrica (2009)
Informe de Amenazas, Riesgos de uso de Windows XP tras fin de Soporte. CCN-CERT, Gobierno de
Espaa (2014)