ACTIVIDAD I INVESTIGACION DE VULNERABILIDADES DE SISTEMAS OPERATIVOS. INTRODUCCION. Una vulnerabilidad son errores que permiten realizar desde afuera actos sin permiso del administrador del equipo, incluso se puede suplantar al usuario, actualmente, ya hay muchas amenazas que tratan de accesar remotamente a los ordenadores, ya sea para hacerlos servidores ilegales de Spam o para robar informacin, de los agujeros ms famosos est el LSASS y el de SVSHOST, de los cuales el Sasser y Blaster se diseminaron rpidamente. El presente trabajo de investigacin est basado en los trabajos realizados por el CCN-CERT (Centro Criptolgico Nacional el cual se encuentra regulado por el Centro Nacional de Inteligencia del Gobierno Espaol y como por el Informe de Inteligencia de Seguridad de Microsoft. Al final de este trabajo se presenta una conclusin con todas las medidas de seguridad que hacen de un sistema no un sistema seguro sino un sistema con menos vulnerabilidades. RIESGOS DE FIN DE SOPORTE DE WINDOWS XP. En 2002 Microsoft present su poltica de Ciclo de Vida de Soporte con el fin de ofrecer una mayor transparencia y previsibilidad a la hora de explicar las opciones de soporte para sus productos. Cada producto de Windows tiene un ciclo de vida que comienza cuando se lanza un producto y termina cuando ya no se vende o no tiene soporte. Siguiendo esta poltica, los productos para empresa y desarrolladores, entre los cuales se incluyen los sistemas operativos Windows y Microsoft Office, disponen de un mnimo de 10 aos de soporte (5 de soporte estndar y 5 ms de soporte extendido) en el soporte a nivel de service pack. Por otro lado, hay que tener en cuenta que a partir de 2012 la mayora de los fabricantes de hardware OEM (Original Equipment Manufacturer) dejaron de dar soporte a Windows XP en la mayor parte de sus nuevos modelos de PC.
Universidad Abierta y a Distancia de Mxico 2
El uso de Windows XP supone no recibir soporte de ningn tipo desde Microsoft, ni actualizaciones de seguridad ni parches de resolucin de incidencias. Por todo ello, los sistemas corporativos se hacen vulnerables y pueden exponer a un Organismo a graves amenazas para la seguridad de la informacin. Adems ser ms difcil adquirir o actualizar software que ofrezca nuevas funcionalidades, debido a incompatibilidades con Windows XP. Riesgos inherentes fuera del soporte oficial de Microsoft. Los riesgos a los que se exponen las plataformas son: Windows XP se convertir en un blanco fcil para explotar vulnerabilidades una vez dejen de publicarse actualizaciones de seguridad por parte de Microsoft. Los atacantes y creadores de cdigo daino se centrarn especialmente en sistemas XP, con la certeza de que a partir del 8 de abril de 2014 ninguna vulnerabilidad ser parcheada y sus ataques tendrn siempre xito. Tras la publicacin por parte de Microsoft de actualizaciones de seguridad para Windows 8 y Windows 7, los atacantes podran realizar ingeniera inversa de los mismos para comprobar qu vulnerabilidades son parcheadas y comprobar si las mismas estn presentes en Windows XP. En caso de ser as, el atacante tendra garantizado el xito de una posible intrusin a un sistema con Windows XP. Cualquier red corporativa con un solo PC con el sistema operativo Windows XP estar en riesgo. Una vez comprometido ese equipo podr ser utilizado como trampoln para infectar al resto de equipos independientemente de la tecnologa de su sistema operativo. Existe un gran nmero de vulnerabilidades conocidas no parcheadas. Se estima que existe tambin un importante nmero de vulnerabilidades que an no son conocidas (da cero). Es muy probable que algunos atacantes mantengan a la espera programas para ataques remotos que se sirvan de fallos de seguridad no publicados y los utilicen cuando haya finalizado el ciclo de vida de Windows XP. Esto implica que cualquier Organismo estara desprotegido indefinidamente ante este tipo de ataques. El mero hecho de mantener actualizados los antivirus comerciales no ser suficiente. Las tasas de infeccin, publicadas por Microsoft en el ao 2012, son el doble en sistemas Windows XP que en sistemas Windows 7. Cabe mencionar la posibilidad de que los fabricantes de software antivirus dejen de actualizar sus soluciones para Windows XP.
Universidad Abierta y a Distancia de Mxico 3
A da de hoy, siguen apareciendo nuevas vulnerabilidades que permiten al atacante tomar control de los sistemas de forma remota. A modo de ejemplo, el NIST estadounidense ha publicado 28 de estas vulnerabilidades tan slo en los 3 primeros meses de 2013. Un usuario interno malintencionado podra saltarse las protecciones implementadas por los administradores de la red y tomar control de la misma ante la falta de soluciones de seguridad apropiadas por desactualizacin. Adicionalmente, las nuevas capacidades de los ordenadores no son aprovechadas por Windows XP. La mayora de los nuevos equipos tienen caractersticas que no existan, o estaban sin madurar, cuando se interrumpieron las mejoras de los service packs para Windows XP. Adems, hoy en da, la mayora de los equipos vienen con un mnimo de 4 GB de memoria, que un sistema operativo normal Windows XP de 32 bits no puede gestionar. INFORME DE VULNERABILIDADES. Nivel de Severidad de las Vulnerabilidades. La siguiente grfica muestra el nmero de vulnerabilidades documentadas y su nivel de severidad a lo largo del semestre, periodo durante el cual se emitieron un total de 2112. Los niveles de severidad de las vulnerabilidades publicadas aparecen en la siguiente figura.
Universidad Abierta y a Distancia de Mxico 4
Segn el grfico anterior es posible observar que, durante todo el periodo analizado, las vulnerabilidades que ms aparecen son las correspondientes al nivel de gravedad alta y media, en lnea con informes anteriores. Se puede hacer una lectura un poco pesimista desde el punto de vista de que, si el mayor nmero de vulnerabilidades tienen un nivel de riesgo alto o medio, su explotacin por parte de atacantes podra provocar efectos graves. Tambin es un indicador de la importancia de las actualizaciones de seguridad, como mecanismo de proteccin. Productos ms afectados. La siguiente figura muestra los productos ms afectados por las vulnerabilidades del semestre. Hay que destacar que slo aparecen aquellos productos afectados por el mayor nmero de nuevas vulnerabilidades.
En este semestre, repite Google Chrome en el primer puesto destacado, aunque con menos diferencia respecto a los dems productos que en el semestre anterior. Hay que destacar la subida de sistemas operativos, Linux e IOS, lo que implica que hay que replantearse el mito de que hay sistemas operativos que son ms seguros y, en todos los casos, utilizar las actualizaciones.
Universidad Abierta y a Distancia de Mxico 5
Tambin hay que sealar que se ha colocado en el tercer puesto las vulnerabilidades de un sistema operativo para dispositivos mviles de Apple. No parece tan importante el hecho de que sea de Apple, sino que es un sistema operativo de dispositivos mviles, lo que puede ir dando pistas sobre qu productos se est profundizando en su investigacin. Tambin, implica que se ha de cuidar la seguridad de estos dispositivos (no slo de Apple, tambin Android, Windows Mobile y dems dispositivos mviles), ya que los cibercriminales estn escribiendo malware para este tipo de dispositivos, motivado por el aumento de estos, adems de por el aumento de lneas de datos o tendencias como BYOD. Al igual que en el anterior semestre, los navegadores tambin estn arriba y eso, unido a que la mayor parte son multiplataforma, hace que sean un objetivo de primera para los ciberdelincuentes. Fabricantes ms afectados. La figura muestra los diez fabricantes ms afectados por las vulnerabilidades detectadas durante el trimestre.
Aunque en el primer puesto este semestre aparece Cisco, hay que resaltar que, de 10 fabricantes, 8 repiten en el Top Ten. Los primeros fabricantes son los que ms productos tienen en el mercado. De esta forma es normal que por el nmero de vulnerabilidades totales, figuren en los primeros puestos.
Universidad Abierta y a Distancia de Mxico 6
Tambin hay que hacer notar la importancia de que en el ranking aparece un fabricante no habitual, Siemens. El motivo es simple, actualmente se est poniendo un foco de atencin muy importante sobre la proteccin de infraestructuras crticas y Siemens fabrica componentes electrnicos para sistemas de automatizacin, estando muy implicado en este tema. Estos productos, que ahora mismo estn controlados por ordenadores y conectados a lneas de comunicacin, estn expuestos a intentos de intrusin y ataques a travs de Internet. Por ese motivo, se est investigando su seguridad de forma ms profunda, lo que implica que podran continuar apareciendo ms vulnerabilidades en este tipo de sistemas. Vulnerabilidades ms comunes segn su tipo. El siguiente grfico muestra los tipos de vulnerabilidades ms comunes registradas en el semestre y la proporcin que, cada uno de ellos, representa sobre el total de vulnerabilidades registradas.
El igual que en el caso de los fabricantes, los tipos de vulnerabilidad repiten respecto del informe pasado, aunque hay alguna variacin de puesto, no hay ninguna muy llamativa. Tambin son prcticamente iguales los porcentajes de tipos de vulnerabilidad.
Universidad Abierta y a Distancia de Mxico 7
Siguen teniendo una gran importancia las vulnerabilidades relacionadas con la navegacin por Internet y la gestin de la memoria, que en porcentaje son la mayora de las presentes en el grfico. Como conclusin hay que darle a la navegacin por Internet la importancia que tiene, esto implica navegadores actualizados y alguna herramienta de control de las pginas web por las que se navega. APROVECHAMIENTO DE VULNERABILIDADES DE WINDOWS EN 2013. En el ltimo ao, Microsoft (MS) corrigi una gran cantidad de vulnerabilidades para Windows y sus componentes, as como para Office. Algunas de estas vulnerabilidades eran utilizadas por atacantes para propagar cdigos maliciosos antes de que estuviera disponible la revisin para el software al cual estaba dirigida la amenaza; en otras palabras, lo que llamamos un ataque 0-day. La mayora de estos ataques se concentraban en fallas de Internet Explorer. Podemos decir que el ao 2013 fue notable por el surgimiento de vulnerabilidades 0-day que principalmente se utilizaron en ataques dirigidos. En este caso, los criminales informticos trabajaron en el desarrollo de exploits (programas que aprovechan vulnerabilidades), pero en lugar de hacerlo para propagar cdigos maliciosos, el propsito era emplearlos en ataques a usuarios especficos a la vez que intentaban alcanzar ciertos objetivos, algunos de los cuales eran conocidos solo por los mismos atacantes. En la tabla que aparece a continuacin, se muestran las estadsticas de las vulnerabilidades que Microsoft corrigi el ao pasado.
Universidad Abierta y a Distancia de Mxico 8
Las vulnerabilidades mostradas en rojo se utilizaron in the wild; es decir, se usaron en ataques reales a usuarios finales antes de que estuviera disponible una revisin. La siguiente tabla brinda ms informacin sobre las vulnerabilidades para las cuales hubo exploits in the wild en el ltimo ao (antes de que apareciera la revisin correspondiente).
Universidad Abierta y a Distancia de Mxico 9
Como se puede observar, los atacantes lograron usar algunos archivos ejecutables del sistema Windows que no contaban con soporte para la tcnica de seguridad Seleccin aleatoria del diseo del espacio de direcciones (ASLR) en la construccin de dispositivos para ataques de Programacin orientada al retorno (ROP) y, de esa forma, lograban evadir la ASLR. Un ejemplo de stos es la biblioteca hxds.dll de Microsoft Office 2007-2010, que se compil sin la ASLR. Como parte del boletn de seguridad de Microsoft publicado el segundo martes de diciembre, la empresa corrigi esta falla (denominada Omisin de caracterstica de seguridad) con la revisin MS13-106, suministrndoles el nivel apropiado de proteccin a los usuarios de Windows que trabajan con esta versin de Office. La siguiente lista contiene informacin sobre las Recomendaciones de seguridad (RS) publicadas durante el ltimo ao.
La siguiente tabla comparativa muestra los componentes de Windows que se corrigieron con mayor frecuencia durante 2013. Tenga en cuenta que las versiones de Microsoft Windows actualmente soportadas incluyen desde Windows XP con Service Pack 3 a Windows 8.1 en equipos de escritorio, y desde Windows Server 2003 a Windows Server 2012 R2 para servidores.
Universidad Abierta y a Distancia de Mxico 10
Abajo se muestra la misma clasificacin incluyendo Office (2003 2013 para Windows)
El siguiente grfico compara las actualizaciones y las vulnerabilidades a las que se dirigieron en mayor parte.
Universidad Abierta y a Distancia de Mxico 11
Infeccin por pgina Web Drive-by download: es el mtodo principal para distribuir cdigo oculto mediante la redireccin a paquetes de exploits. Escala de privilegios para usuarios locales (Elevacin de privilegios, LPE): es una forma de obtener los privilegios mximos en Windows; normalmente se asocia con el lanzamiento del cdigo de modo kernel para evadir restricciones de modo de usuario (tambin conocido como escape a las restricciones de modo de usuario). Ejecucin remota de cdigo (RCE): los atacantes usan este mtodo, por ejemplo, en infecciones drive- by, pero en muchos casos se puede activar no solo mediante una pgina Web sino tambin por correo electrnico, mensajera instantnea, etc. Como podemos ver en la tabla de arriba (Emisin de actualizaciones / tendencia de aprovechamiento de vulnerabilidades en 2013), los productos como el explorador Internet Explorer, .NET Framework y el complemento para Silverlight son utilizados por los atacantes para la ejecucin remota de cdigo y, de hecho, en la mayora de los casos, se lleva a cabo mediante el explorador. Los atacantes usan una pgina Web especialmente diseada con contenido malicioso que aprovecha una vulnerabilidad del software antes mencionado. Eventualmente, esta pgina se usa para la distribucin de malware. El usuario puede seleccionar una opcin especial para Internet Explorer que mitiga los exploits. Esta opcin se llama Enhanced Protection Mode, EPM (Modo de proteccin mejorado) o modo de caja de arena.
Universidad Abierta y a Distancia de Mxico 12
Abajo se muestran las opciones de caja de arena de Internet Explorer 11 para utilizar en Windows 8 y versiones posteriores (solo para ediciones de 64 bits).
La primera opcin, llamada Enhanced Protected Mode (EPM), habilita el modo de restriccin AppContainer para procesos en las pestaas del explorador. La segunda opcin, denominada Enable 64-bit processes for Enhanced Protection Mode (Habilitar procesos de 64 bits para el Modo de proteccin mejorado) habilita el uso de procesos nativos de 64 bits para las pestaas del explorador. En forma predeterminada, en las versiones de 64 bits de Windows 8 y posteriores, Internet Explorer ejecuta los procesos de las pestaas del explorador como si fueran procesos de 32 bits, lo que los hace ms vulnerables a recibir ataques del tipo heap spraying, una tcnica utilizada por los exploits para facilitar la ejecucin arbitraria de cdigo. Los atacantes utilizan esta tcnica para evadir las prcticas de mitigacin de la ASLR. El espacio de direcciones virtuales en 64 bits es mucho ms grande que el espacio de direcciones de 32 bits, y la ASLR es ms segura en el contexto de dicho proceso. Los atacantes tambin pueden aprovechar las vulnerabilidades de las aplicaciones incluidas en el paquete de software de Microsoft Office para instalar cdigos maliciosos en forma remota. Al observar las actualizaciones emitidas para Office durante el ltimo ao, podemos ver que todas tuvieron como
Universidad Abierta y a Distancia de Mxico 13
objetivo eliminar vulnerabilidades que permitan la ejecucin remota de cdigo. En este escenario, los atacantes crean un archivo de Office especialmente diseado, por ejemplo, un archivo .DOCX para Microsoft Word, y se lo envan a la vctima en un correo electrnico utilizando phishing. El mensaje debe ser capaz de convencer al usuario de que desea abrir un archivo adjunto malicioso. Cuando se abre el archivo en una versin vulnerable de Office, el equipo del usuario queda infectado con software malicioso. Tenga en cuenta que las versiones ms nuevas de Microsoft Word 2013 y Outlook 2013 contienen caractersticas de seguridad especiales para mitigar el aprovechamiento de vulnerabilidades. Estas caractersticas prohben que la aplicacin realice funciones potencialmente peligrosas. Por ejemplo, Outlook inicia el proceso de Word con un Nivel de integridad bajo y con privilegios reducidos, lo que restringe la capacidad de shellcode de ejecutar funciones del sistema. Los componentes del sistema operativo que se ejecutan en modo kernel (KM), el controlador del subsistema de la interfaz grfica del usuario de Windows win32k.sys, los controladores del sistema (controladores KM), y ntoskrnl (NTOS, kernel del sistema operativo), son utilizados por los atacantes para elevar el nivel de privilegios del sistema con el objetivo de ejecutar cdigo en modo kernel que pueda evadir las restricciones de Windows (escape a las restricciones de modo de usuario). Entre estos componentes, el controlador win32k.sys fue el que tuvo ms revisiones durante el ltimo ao. La barra de color representa los niveles de revisiones en 2013; la barra gris adyacente representa los niveles en 2012.
Universidad Abierta y a Distancia de Mxico 14
Como podemos observar, en 2013 Microsoft repar muchas ms vulnerabilidades que en 2012. Esta tendencia se evidencia principalmente con el controlador del subsistema de la interfaz grfica del usuario de Windows (win32k.sys) y el explorador Internet Explorer. Tenga en cuenta que en octubre, la empresa lanz una nueva versin de Windows (Windows 8.1) y del explorador Internet Explorer 11. Internet Explorer 11 tambin se puede instalar en Windows 7. La siguiente tabla muestra las vulnerabilidades (0-day al momento del aprovechamiento de las vulnerabilidades) que usaron los atacantes para distribuir cdigos maliciosos. El ao pasado puede llamarse con razn el ao de los ataques dirigidos y de los ataques Watering Hole. Para muchos de ellos, los atacantes investigaron especialmente las vulnerabilidades y las emplearon en forma exclusiva para ataques a una regin o empresa especfica. En particular, los ataques Watering Hole se usaron para comprometer sitios web que reciban activamente visitas de presuntas vctimas en diversas regiones del mundo. Creemos que esta tendencia continuar en 2014.
La columna con asterisco (*) denota el mes en que la vulnerabilidad se aprovech por primera vez en un ataque dirigido; un guion en esa columna significa que no hay datos disponibles. El ltimo ao demostr que Microsoft prest atencin a las tecnologas de proteccin para neutralizar los exploits. Hubo tres innovaciones principales que tuvieron como objetivo proteger la pgina nula (asignacin de memoria), quitar punteros en funciones ntdll de SharedUserData (mitigacin de la
Universidad Abierta y a Distancia de Mxico 15
omisin de ASLR) y prohibir la suministracin de informacin sobre punteros a objetos del kernel para aplicaciones no confiables en Windows 8.1 (mitigacin de la omisin de KASLR).
La asignacin de memoria con direccin 0 (usando ntdll!ZwAllocateVirtualMemory) facilita mucho la vida de los atacantes, especialmente si estn interesados en la elevacin de privilegios. Luego de que el atacante asigna esta regin de la memoria, necesita encontrar un controlador vulnerable que pueda ejecutar cdigo desde esta direccin mediante un error. Otra mejora interesante de Windows 8 es que todos los archivos compilados por Microsoft incluyen soporte de ASLR mejorada o fortalecida o ASLR de alta entropa (HEASLR). HEASLR es una nueva caracterstica que apareci por primera vez en Windows 8. Mejora el enfoque normal de la ASLR mediante el uso de una entropa de direccin ms fuerte para operaciones de memoria como la asignacin de memoria virtual, la carga de imgenes, la asignacin de la pila de memoria, etc.
Universidad Abierta y a Distancia de Mxico 16
Todos los archivos de sistema compilados por Microsoft en Windows 8+ son compatibles con HEASLR para mejorar la proteccin ante el potencial aprovechamiento de vulnerabilidades (enlace /HIGHENTROPYVA).
MEJORAS DE SEGURIDAD DE WINDOWS 7 User Access Control El UAC (Control de Acceso a Usuarios) es la funcionalidad que permite controlar los privilegios de los usuarios que hacen uso del sistema cuando se ejecutan tareas administrativas que accedan o modifiquen archivos crticos del sistema. En contraposicin con Windows XP, en donde se instala por defecto una cuenta de usuario con permisos administrativos (e irrestrictos) al sistema; UAC ofrece una capa de proteccin importante, denegando la ejecucin de tareas que pueden ser maliciosas o indeseadas, sin la autorizacin del usuario. Aunque fue introducido en Windows Vista, se han realizado una serie de modificaciones en esta nueva versin del sistema operativo. Debido al gran salto que implic para los usuarios la incorporacin de
Universidad Abierta y a Distancia de Mxico 17
esta funcionalidad, la misma recibi muchas crticas por su claro impacto en la usabilidad del sistema. Por tal motivo, Microsoft ha introducido algunos cambios en esta nueva versin. En las configuraciones por defecto: UAC no se activar cuando el sistema detecte que los permisos fueron solicitados por el mouse o el teclado. Slo se activar cuando identifique la necesidad de tareas administrativas por parte de procesos o acciones automatizadas. Permisos administrativos solicitados por aplicaciones firmadas a travs de un certificado digital, tampoco activarn el UAC. En otras palabras, Windows 7 ha moderado el Control de Acceso a Usuarios, equilibrando la relacin seguridad/usabilidad, en funcin de los pedidos de los propios usuarios para no recibir tantas alertas durante el uso de la computadora. Cabe destacar que el UAC puede configurarse para alertar ante todo tipo de acceso administrativo al sistema, y es recomendable hacerlo.
El UAC es una caracterstica de seguridad de mucha utilidad para la prevencin de cdigos maliciosos. Por ejemplo, familias de troyanos como Win32/Qhost, que intentan utilizar tcnicas de pharming local modificando el archivo hosts del sistema, no podrn realizar sus tareas sin la autorizacin del usuario, si es que ste tiene correctamente configurado el Control de Acceso a Usuarios. Esto es extensible a
Universidad Abierta y a Distancia de Mxico 18
otras familias de cdigos maliciosos que modifican archivos del administrador del sistema (no el entorno del usuario). Para enfrentar esta barrera de seguridad, los creadores de cdigos maliciosos seguramente utilizarn la Ingeniera Social como principal tcnica: si el usuario desea ejecutar el archivo, l mismo autorizar la ejecucin del mismo en el sistema. Adems, en las versiones Beta de Windows 7 existieron pruebas de concepto para engaar al UAC (en su configuracin por defecto), simulando que acciones de procesos automticos aparenten ser ejecutados por el usuario (mouse y teclado). Aunque esta vulnerabilidad ya fue reparada en la versin final de Windows 7, la explotacin de vulnerabilidades (en caso que apareciera una nueva) ser un factor de provecho por el malware. El fin del Autorun: Autoplay La ejecucin automtica de archivos ante la conexin de dispositivos USB (o similares), tambin conocida como Autorun, ha sido una de las funcionalidades ms aprovechadas por creadores de malware para infectar sistemas. Diversos gusanos han utilizado estos dispositivos como mtodo de propagacin. Desde el gusano Conficker hasta otra gran cantidad de variantes (identificadas genricamente por ESET NOD32 como INF/Autorun y Win32/Autorun) que han ocupado los primeros puestos en los rankings de deteccin realizados mensualmente por ESET Latinoamrica. Luego de haber liberado parches para deshabilitar el Autorun en las versiones anteriores del sistema operativo, Microsoft ha decido eliminar por defecto la ejecucin automtica de dispositivos USB en Windows 7, suplantndola por una nueva funcionalidad: Autoplay. Bsicamente, sta consiste en que slo los dispositivos pticos, tales como CD o DVD, utilizarn la opcin de ejecutar automticamente archivos al ser insertados. Otro tipo de medios, como dispositivos USB, tarjetas de memoria, u otros; no contarn con esta alternativa, visualizando el usuario solo las opciones principales de navegacin, tal como se muestra en la siguiente imagen:
Universidad Abierta y a Distancia de Mxico 19
Como ya se mencion, esta funcionalidad tendr un alto impacto en todos los cdigos maliciosos (especficamente gusanos) que utilizaban los dispositivos USB como mtodo de propagacin. Cabe destacar que existen ciertas metodologas para continuar explotando este vector de ataque, por ejemplo simulando que el dispositivo USB es en realidad un medio CD o DVD, tal como indica el blog de Microsoft sobre Windows 7. Tambin sern vulnerables aquellos usuarios que deshabiliten el Autoplay. Biometric Framework La funcionalidad Windows Biometric Framework (WBF) es una adicin a Windows 7 que ofrece soporte para la utilizacin de dispositivos biomtricos de lectura de huellas dactilares. Aunque esta funcionalidad parece no tener impacto directo en los cdigos maliciosos, cabe destacar que la utilizacin de contraseas fuertes es una prctica de gran importancia para versiones anteriores de Windows, y que debe seguir siendo considerada para cualquier sistema que requiera clave de acceso. Sin embargo, en tanto y en cuanto se comiencen a utilizar soportes de login que no requieran usuario y contrasea, los usuarios podrn tener una capa de proteccin ante cdigos maliciosos diseados para robar claves de acceso, como Win32/Mebroot. MALWARE EN WINDOWS 7
Universidad Abierta y a Distancia de Mxico 20
Aunque, como se mencion en la seccin anterior, muchas familias de cdigos maliciosos vern afectada su propagacin con las nuevas caractersticas de seguridad de Windows 7; otras an siguen funcionando en la nueva versin del sistema operativo. Se describen a continuacin los principales vectores de ataque que continan vigentes. Ingeniera Social, y las medidas de siempre En pos de la usabilidad, Windows 7 contina ocultando las extensiones de los archivos. Esta caracterstica, junto con la utilizacin de archivos como ocultos, puede ser utilizada por cdigos maliciosos para engaar al usuario y lograr la ejecucin. Esta medida puede ser considerada controversial, ya que mantiene un vector de ataque de sencilla remediacin. Al igual que en las versiones anteriores del sistema operativo, el usuario puede configurar el sistema para ver las extensiones de todos los archivos. Particularmente los troyanos sern los cdigos maliciosos que aprovecharn en mayor medida estas caractersticas. Tambin el malware del tipo rogue, que hace un amplio uso de la Ingeniera Social, podr ser ejecutado en Windows 7, y por lo tanto es de esperarse que su tasa de crecimiento contine en ascenso con la nueva versin del sistema operativo, as como ya lo ha demostrado en algunos de otro tipo como Mac OS X. En la siguiente imagen se muestra un sistema infectado con la amenaza detectada por ESET NOD32 como Win32/Adware.VirusAlarmPro.
Universidad Abierta y a Distancia de Mxico 21
Explotacin de vulnerabilidades Independientemente de cualquier mejora de seguridad, la aparicin de vulnerabilidades es siempre un vector de ataque que puede ser utilizado por gusanos para su propagacin. Por lo tanto, a medida que aparezcan vulnerabilidades en el nuevo sistema operativo, aparecern los exploits y, en consecuencia y de ser aplicable, gusanos que aprovechen los mismos para infectar sistemas. Ante la explotacin de una vulnerabilidad que permita ejecutar un cdigo remoto, las medidas de seguridad antes expuestas no sern aplicables y un gusano de este tipo podr ejecutar las acciones que desee, incluso si stas son crticas o administrativas. Una epidemia como la ocurrida con el gusano Conficker podra ocurrir en Windows 7, siempre y cuando los usuarios no sean conscientes de la importancia que las actualizaciones de seguridad tienen.
Infeccin del entorno del usuario As como el UAC previene la ejecucin de tareas administrativas, que por lo general infectan, alteran o modifican archivos del sistema; ciertos cdigos maliciosos no necesitan de estos recursos para lograr su cometido. Particularmente se destacan aquellos malware del tipo bot, diseados para convertir a los sistemas en equipos zombis, y que por lo general slo necesitan ejecutarse al inicio de sesin. Es decir, slo necesitan alterar el entorno del usuario, sin necesidad de permisos administrativos (sobre todo el sistema). Cdigos maliciosos como las familias Win32/Zbot o Win32/Agent pueden ser ejecutados en esta versin del sistema operativo. Algunas variantes de estos fueron probadas con xito sobre la versin lanzada de Windows 7. RESUMEN DE INVESTIGACION. CONCLUSIN En las secciones anteriores se detall que ciertos cdigos maliciosos no podrn ser ejecutados con las nuevas caractersticas de seguridad de Windows 7, mientras que otros s podrn hacerlo.
Universidad Abierta y a Distancia de Mxico 22
Independientemente de la seleccin realizada, en la cual se identificaron las principales familias en cada categora, cabe destacar que existe una regla general: el lanzamiento de una nueva versin del sistema operativo lograr que ciertos cdigos maliciosos sean controlados y otros no. Este anlisis radica sobre las familias de malware ya conocidas, pero es relevante destacar que, conforme los usuarios comiencen a utilizar Windows 7, nuevas familias de malware pueden aparecer, siendo destinadas nicamente a esta nueva versin y con nuevos vectores de ataque hasta el momento no explotados. De todas maneras, vale destacar los esfuerzos de Microsoft por mejorar la seguridad de su sistema operativo, as como tambin recordar la importancia de mantener sus sistemas protegidos con soluciones de seguridad con capacidades de deteccin proactivas, combinadas adems con las buenas prcticas y la concientizacin de los usuarios. Como podemos ver, durante el ltimo ao, Microsoft corrigi muchas vulnerabilidades, la mayora de las cuales estaban relacionadas a la ejecucin no autorizada o remota de cdigo, que les permite a los atacantes comprometer sistemas vulnerables. Asimismo, la empresa introdujo funcionalidades de seguridad tiles, que complican ms el proceso de aprovechamiento de vulnerabilidades. Por estas razones, muchos de los exploits que emplean dichos mtodos para aprovechar vulnerabilidades no seguirn funcionando en las versiones actualizadas del sistema operativo Windows. Esto hace que Windows 8 y 8.1 sean una buena opcin, por ejemplo, porque Windows 8. incluye caractersticas de seguridad integrales que solo estn disponibles para otras versiones del sistema operativo Microsoft si el usuario cuenta con la posibilidad de instalar la actualizacin de seguridad correspondiente. Les recomendamos a nuestros clientes instalar las actualizaciones de seguridad lo antes posible tras su lanzamiento para ayudar a que se mantengan protegidos.
Universidad Abierta y a Distancia de Mxico 23
Bibliografa. Informe de vulnerabilidades INTECO, Ministerio de Industria, Turismo y Comercio de Espaa (2012). Informe de Inteligencia de seguridad de Microsoft, principales conclusiones Microsoft (2012) Seguridad en Windows 7, Sebastin Bortnik, Analista en Seguridad de ESET, para Latinoamrica (2009) Informe de Amenazas, Riesgos de uso de Windows XP tras fin de Soporte. CCN-CERT, Gobierno de Espaa (2014)