Cómo AutoRun Malware se convirtió en un problema en Windows y cómo se solucionó (principalmente)
Gracias a las malas decisiones de diseño, AutoRun fue una vez un gran problema de seguridad en Windows. AutoRun permitió que el software malicioso se iniciara tan pronto como insertó discos y unidades USB en su computadora.
Esta falla no solo fue explotada por los autores de malware. Sony BMG lo utilizó para ocultar un rootkit en los CD de música. Windows ejecutaría e instalaría automáticamente el rootkit cuando insertara un CD de audio Sony malicioso en su computadora.
El origen de AutoRun
AutoRun fue una función introducida en Windows 95. Cuando insertó un disco de software en su computadora, Windows leería automáticamente el disco y, si se encontraba un archivo autorun.inf en el directorio raíz del disco, se iniciaría automáticamente el programa. especificado en el archivo autorun.inf.
Esta es la razón por la que, cuando insertó un CD de software o un disco de juego de PC en su computadora, se inició automáticamente un instalador o una pantalla de inicio con opciones. La característica fue diseñada para hacer que tales discos sean fáciles de usar, reduciendo la confusión del usuario. Si AutoRun no existiera, los usuarios tendrían que abrir la ventana del explorador de archivos, navegar hasta el disco e iniciar un archivo setup.exe desde allí..
Esto funcionó bastante bien por un tiempo, y no hubo grandes problemas. Después de todo, los usuarios domésticos no tenían una manera fácil de producir sus propios CD antes de que los grabadores de CD se generalizaran. Realmente solo habías encontrado discos comerciales, y en general eran confiables..
Pero incluso en Windows 95 cuando se introdujo AutoRun, no estaba habilitado para los disquetes. Después de todo, cualquiera podría colocar cualquier archivo que quisiera en un disquete. La ejecución automática de los disquetes permitiría que el malware se propague de un disquete a una computadora, de un disquete a otro.
Reproducción automática en Windows XP
Windows XP refinó esta función con una función de "Reproducción automática". Cuando inserte un disco, una unidad flash USB u otro tipo de dispositivo de medios extraíbles, Windows examinará su contenido y le sugerirá acciones. Por ejemplo, si inserta una tarjeta SD que contiene fotos de su cámara digital, le recomendará hacer algo apropiado para los archivos de imágenes. Si una unidad tiene un archivo autorun.inf, verá una opción que le pregunta si desea ejecutar automáticamente un programa desde la unidad también..
Sin embargo, Microsoft todavía quería que los CD funcionaran igual. Por lo tanto, en Windows XP, los CD y DVD seguirían ejecutando automáticamente los programas si tuvieran un archivo autorun.inf, o comenzarían a reproducir su música automáticamente si fueran CD de audio. Y, debido a la arquitectura de seguridad de Windows XP, esos programas probablemente se iniciarían con acceso de Administrador. En otras palabras, tendrían acceso completo a su sistema..
Con las unidades USB que contienen archivos autorun.inf, el programa no se ejecutará automáticamente, pero le presentará la opción en una ventana de Reproducción automática.
Todavía podría deshabilitar este comportamiento. Había opciones ocultas en el propio sistema operativo, en el registro y en el editor de políticas del grupo. También puede mantener presionada la tecla Mayús mientras inserta un disco y Windows no realiza el comportamiento de AutoRun.
Algunas unidades USB pueden emular CD, e incluso los CD no son seguros
Esta protección comenzó a romperse de inmediato. SanDisk y M-Systems vieron el comportamiento del CD AutoRun y lo querían para sus propias unidades flash USB, por lo que crearon unidades flash U3. Estas unidades de memoria flash emularon una unidad de CD cuando las conectas a una computadora, por lo que un sistema Windows XP iniciará automáticamente los programas cuando estén conectados..
Por supuesto, incluso los CD no son seguros. Los atacantes podrían grabar fácilmente una unidad de CD o DVD, o usar una unidad regrabable. La idea de que los CDs son de alguna manera más seguros que las unidades USB es errónea.
Disaster 1: The Sony BMG Rootkit Fiasco
En 2005, Sony BMG comenzó a enviar rootkits de Windows en millones de sus CD de audio. Cuando insertó el CD de audio en su computadora, Windows leería el archivo autorun.inf y ejecutaría automáticamente el instalador de rootkit, que en el fondo infectó a escondidas su computadora. El propósito de esto fue evitar que copie el disco de música o lo copie en su computadora. Debido a que estas funciones son normalmente compatibles, el rootkit tuvo que subvertir todo el sistema operativo para suprimirlas..
Esto fue posible gracias a AutoRun. Algunas personas recomendaron mantener Shift cada vez que insertó un CD de audio en su computadora, y otros se preguntaron abiertamente si sostener Shift para suprimir la instalación del rootkit se consideraría una violación de las prohibiciones anti-elusión de la DMCA contra eludir la protección contra copia..
Otros han hecho una crónica de la larga y lamentable historia de ella. Digamos que el rootkit era inestable, el malware aprovechó el rootkit para infectar más fácilmente los sistemas de Windows, y Sony obtuvo un ojo negro enorme y bien merecido en la arena pública..
Desastre 2: El gusano Conficker y otros programas maliciosos
Conficker fue un gusano particularmente desagradable detectado por primera vez en 2008. Entre otras cosas, infectó los dispositivos USB conectados y creó archivos autorun.inf en ellos que ejecutaban automáticamente el malware cuando estaban conectados a otra computadora. Como empresa antivirus ESET escribió:
"Las unidades USB y otros medios extraíbles, a los que se accede mediante las funciones Autorun / Autoplay cada vez que (de forma predeterminada) se conectan a su computadora, son los portadores de virus más utilizados en la actualidad".
Conficker fue el más conocido, pero no fue el único malware que abusó de la peligrosa funcionalidad de AutoRun. La ejecución automática como una función es prácticamente un regalo para los autores de malware.
Windows Vista deshabilitó la ejecución automática de forma predeterminada, pero ...
Microsoft finalmente recomendó que los usuarios de Windows deshabilitaran la funcionalidad de ejecución automática. Windows Vista hizo algunos cambios buenos que Windows 7, 8 y 8,1 han heredado..
En lugar de ejecutar automáticamente programas desde CD, DVD y unidades USB que se hacen pasar por discos, Windows simplemente muestra el cuadro de diálogo Reproducción automática para estas unidades también. Si un disco o unidad conectada tiene un programa, lo verá como una opción en la lista. Windows Vista y las versiones posteriores de Windows no ejecutarán automáticamente los programas sin preguntarle, tendría que hacer clic en la opción "Ejecutar [programa] .exe" en el cuadro de diálogo Reproducción automática para ejecutar el programa e infectarse.
Pero todavía sería posible que el malware se propague a través de AutoPlay. Si conecta una unidad USB maliciosa a su computadora, todavía está a un clic de ejecutar el malware a través del cuadro de diálogo Reproducción automática, al menos con la configuración predeterminada. Otras características de seguridad como UAC y su programa antivirus pueden ayudarlo a protegerse, pero aún debe estar alerta.
Y, desafortunadamente, ahora tenemos una amenaza a la seguridad aún más alarmante de los dispositivos USB que debemos tener en cuenta..
Si lo desea, puede deshabilitar la reproducción automática por completo (o solo para ciertos tipos de unidades), por lo que no obtendrá una ventana emergente de reproducción automática cuando inserte medios extraíbles en su computadora. Encontrarás estas opciones en el Panel de Control. Realice una búsqueda de "reproducción automática" en el cuadro de búsqueda del Panel de control para encontrarlos.
Crédito de la imagen: aussiegal en Flickr, m01229 en Flickr, Lordcolus en Flickr