Microsoft acaba de publicar como actualización
automática el parche que deshabilita el Autoplay en dispositivos USB en
todos sus Windows (solo la versión 7 lo hacía correctamente por defecto
hasta ahora). Con este movimiento, da (por fin) el paso final para
aniquilar una funcionalidad que ha traído muchos problemas. Repasemos un
poco la historia del Autorun.
Aunque Windows 9x disponía de
AutoRun, era una especie de sistema primitivo que no podía ser comparado
con el de XP. Además, por aquel entonces los dispositivos de
almacenamiento USB no eran demasiado populares, mientras que los
disquetes todavía se usaban. Por tanto, se puede decir que el verdadero
problema comenzó a finales de 2001, con XP y su Autorun y Autoplay.
Distingamos entre estos dos conceptos.
Autorun y Autoplay
Autorun:
Es la capacidad del sistema operativo (no solo de Windows) de ejecutar
dispositivos extraíbles cuando son insertados en el sistema. En Windows,
los parámetros de la "autoejecución" se definen en un archivo de texto
llamado autorun.inf, que aparece en la raíz de la unidad que se inserta.
Autoplay:
Es la funcionalidad propia introducida en XP. Complementa y se basa en
Autorun. Analiza el dispositivo que se inserta y según el tipo de
archivo que encuentre, lanza un diálogo en el que se sugieren las
mejores aplicaciones para reproducirlos. Si se elige una acción por
defecto, el usuario no necesitará más este diálogo y el programa elegido
se lanzará automáticamente la próxima vez gracias a Autorun y la
"memoria" de Autoplay.
Hitos importantes
Ya en
febrero de 2000, publicábamos en Hispasec un boletín titulado "Ataques a
través del autorun". La funcionalidad se presentaba como el sustituto
perfecto de la ejecución automática en disquetes pero aplicada a CDs y
memorias USB.
Hacia 2005, las memorias USB se popularizaron y
comenzaron a aparecer cada vez más muestras de malware que se propagaban
por este medio. Hasta el punto de que, a mediados de 2010, ya se
calculaba que un 25% del malware se esparcía a través de estos
dispositivos.
Pero Microsoft no vio el problema hasta 2008. Se
podía deshabilitar esta capacidad a través de políticas o cambios en
manuales en el registro y, por tanto, no consideraba necesario cambiar
su postura: Windows lo ofrecía como funcionalidad activa por defecto
(como tantas otras facilidades) y quien quisiera protegerse, que lo
desactivara. Pero esto no era del todo cierto: incluso desactivado,
nunca se estuvo verdaderamente protegido. A partir de ahí comienza un
recorrido para su desactivación y mejora que, a trancas y barrancas, se
aplica ya automáticamente a todos sus sistemas operativos
Más Información:
Cómo deshabilitar la funcionalidad de la ejecución automática en Windows
http://support.microsoft.com/kb/967715
02/08/2010 Microsoft publica actualización fuera de ciclo para
vulnerabilidad en los .lnk
03/05/2009 Microsoft mejora la "autoejecución" de Windows 7. ¿Gracias,
Conficker?
http://www.hispasec.com/unaaldia/3844
19/02/2000 Ataques a través del autorun
http://www.hispasec.com/unaaldia/480
27/05/2008 Virus y promiscuidad. Del disquete al USB
http://www.hispasec.com/unaaldia/3503
25% Of Malware Spread Via USB Drives
http://www.informationweek.com/news/security/vulnerabilities/showArticle.jhtml?articleID=227100125
Autor: Sergio de los Santos
Fuente: Hispasec
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!