Hola a todos,
Pedro laguna ya trató este tema aplicado a los virus que se transmiten por las memorias USB (Seguridad mejorada en memorias USB) pero hoy os acercamos una ampliación de este mismo tema, de forma mas general, desde el blog “Engineering Windows 7”. Os dejo con la traducción del post que podéis encontrar aquí.
Algunos tipos de malware, incluyendo al gusano Conficker, han empezado a hacer uso de las capacidades de reproducción automática para proporcionar una tarea de apariencia benigna a la gente que oculta un troyano para introducir malware en el equipo. El malware infecta los futuros dispositivos que se conecten al equipo infectado con el mismo troyano. Para mas información sobre Conficker visite http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx
En el siguiente ejemplo, en una unidad flash USB que contiene imágenes, el malware se registra como la tarea principal “Abrir carpeta para ver ficheros.” Si se selecciona esta primera opción (marcada en rojo), se ejecutará el malware. De todos modos, si se selecciona la segunda tarea (marcada en verde), el malware no se ejecutará.
Reproducción automática en USB infectado
La gente no entiende porque tienen dos tareas que aparentan hacer lo mismo, e incluso una persona experimentada que sea cuidadosa de no ejecutar software de un origen desconocido puede cometer el error de seleccionar la primera tarea. Como resultado, la gente pierde confianza y no se sienten bajo control.
Un ataque en crecimiento
A pesar de que presentar una tarea de reproducción automática ha estado disponible desde Windows XP, hemos observado un incremento notable en la cantidad de malware que utiliza esta reproducción automática como un método potencial de propagación. De acuerdo al informe de seguridad de inteligencia, un estudio empresarial a través de Forefront Client Security mostró que la categoría de malware que se propaga a través de la reproducción automática representaba el 17,7% de las infecciones en la segunda mitad de 2008, la categoría con mayor porcentaje en infecciones de malware.
El grafico a continuación muestra el incremento de informes de detección mediante software anti-virus de Microsoft, de la clase de infecciones que se propagaron a través de la reproducción automática. (Nota: el método de infección no se puede determinar)
Detección de infecciones de Malware que se propagan por reproducción automática
Hasta ahora, deshabilitar la reproducción automática completamente era la única solución para clientes y empresas para aumentar la confianza en el uso de memorias y discos usb en sus equipos. La guía para deshabilitar la reproducción automática está disponible aquí.
Incrementar la confianza del cliente
Windows 7 introduce cambios clave en la reproducción automática que le mantendrán a salvo de estar expuesto sin darse cuenta a malware como el Conficker cuando trabaje con dispositivos de memoria USB. (p.e. recuperar los archivos de una unidad USB, descargar imágenes de una tarjeta SD, etc.)
En particular, Windows no mostrará nunca mas la tarea de reproducción automática en el dialogo para dispositivos que no sean medios ópticos (CD/DVD) porque no existe una forma para identificar el origen de estas tareas. ¿Se colocaron ahí por un IHV, una persona, un malware? Quitar esta tarea de la reproducción automática bloqueará el principal método de propagación utilizado por el malware y ayudará a los clientes a estar protegidos. La gente aún tendrá acceso a todas las demás funciones de la reproducción automática instaladas en su equipo.
Con estos cambios, si inserta una unidad USB que contiene fotos y que ha sido infectado por malware, puede confiar en que las tareas que se muestren son todas de software que ya se encuentra en su equipo:
Reproducción automática de un USB infectado después de los cambios.
Por otro lado, si introduce un CD que ofrece una instalación de software, Windows mostrará la tarea de reproducción automática proporcionada por el ISV durante el proceso de creación. Por ejemplo:
Reproducción automática de un CD que tiene una tarea de reproducción automática
Este cambio estará presente por primera vez en Windows 7 RC, y se llevará a Vista y XP en un futuro.
Impacto en el ecosistema
Estamos trabajando con nuestros partners para ayudar a mitigar las situaciones en las que este cambio en la reproducción automática tenga un impacto en ellos.
Los CDs y DVDs (incluyendo la emulación de CD), donde el IHV haya especificado una tarea de reproducción automática durante la fabricación, continuarán proporcionando elección de reproducción automática, permitiendo a los clientes ejecutar el software especificado. Los IHV de dispositivos de almacenamiento USB tendrán que tener en cuenta que la gente deberá navegar por el contenido del dispositivo en lugar de ejecutar un software. El nuevo comportamiento permitirá a los clientes utilizar la reproducción automática (incluyendo todas las tareas de Windows e instaladas por ISV) para acceder a sus dispositivos multimedia, mientras que las tareas del malware se omitirán. Adicionalmente, las clases de dispositivos, como reproductores portátiles y teléfonos móviles, ahora soportarán Device Stage™ en Windows 7. Device Stage ofrece a los IHV una alternativa multifunción a la reproducción automática donde pueden presentar enlaces al software y tareas comunes, y proporciona características adicionales para usar con el dispositivo.
Esperamos que estos cambios le hagan sentir mas seguro y controlado, al utilizar dispositivos de almacenamiento.
-Arik Cohen
Si quieres aprender mucho más sobre los secretos de lo sistemas Microsoft Windows, deberías leer el libro de Sergio de los Santos "Máxima Seguridad en Windows: Secretos Técnicos" y. por último, te recordamos que si te ha gustado el artículo puedes suscribirte al Canal RSS de Windows Técnico para estar al día de las novedades e información técnica de interés.
Enviado
sep 11 2009, 12:00
por
Matias Cordero