domingo, febrero 05, 2006

Navegar por Internet con una cuenta administrativa es "mortal"

En este comentario de la bitácora explico un experimento que realicé y que demuestra que un sistema que navegue por Internet desde una cuenta administrativa está completamente desprotegido.

En primer lugar, describo la primera prueba:
  • Sistema Windows XP SP2 sin la actualización de seguridad para la vulnerabilidad WMF.
  • Cortafuegos, antivirus y antiespías activados y residentes (probados modelos de varios fabricantes).
  • Cuenta administrativa dispuesta a acceder a Internet.
  • Internet Explorer 6 SP2.

Ya sabrá que no es difícil encontrar por Internet páginas maliciosas que hagan uso de la ya corregida vulnerabilidad WMF; por lo tanto, con el sistema antes descrito, me dispuse a acceder a una de ellas. Los efectos aparecieron rápidamente:

Primeramente apareció automáticamente un cuadro de diálogo de descarga de un fichero con extensión WMF. No fue posible cerrarlo a tiempo y el Visor de imágenes y fax de Windows XP se abrió sin mostrar ninguna imagen ni nada en especial. Abrí el Administrador de tareas, pestaña Procesos y encontré ciertos procesos bastante extraños que, al intentar matarlos, aparecían de nuevo. En menos de un minuto el primer síntoma visual, un globo de texto de XP con el siguiente mensaje: "Your computer is infected!", simulando ser legítimo del Centro de seguridad de XP SP2. Además, aparecieron ciertos accesos directos en el escritorio que supuestamente enlazaban con páginas de eliminación de malware. Los procesos de tanto el antivirus como el analizador de ficheros espía fueron eliminados de la memoria. De todas formas al pasarlos por el sistema o bien no detectaban malware o bien no eran capaces de eliminarlo.

La herramienta Autoruns (http://www.sysinternals.com/Utilities/Autoruns.html) mostraba que ficheros como Mscornet.exe (troyano) y otros más de ese estilo arrancaban junto con Windows. Adicionalmente un vistazo a los BHO (Browser Helper Objects) mostraba que se había instalado uno relacionado con la página de inicio de Internet Explorer. Al abrir Internet Explorer me encontré con la típica página about:blank que no haría otra cosa que seguir descargando malware al sistema. El sistema quedó bastante "tocado".

El segundo escenario fue el siguiente:

  • Sistema Windows XP SP2 sin la actualización de seguridad para la vulnerabilidad WMF.
  • Cuenta de usuario limitado dispuesta a acceder a Internet.
  • Internet Explorer 6 SP2.

De nuevo accedí a la página (vea que el sistema sigue siendo vulnerable). Apareció igualmente el cuadro de diálogo de descarga temporal del archivo WMF y el Visor de imágenes y fax se volvió a abrir sin mostrar nada en pantalla. En cambio los procesos no se vieron alterados, la página de inicio de Internet Explorer no fue secuestrada y no había síntomas aparentes de infección. Un análisis con una herramienta contra los ficheros espía mostraba una entrada en el Registro (concretamente en la rama HKCU, única rama donde podía escribir el malware) perteneciente al spyware AdTools. Como ve, la diferencia de impacto es considerable.

En este ejemplo vemos que, cuando existen en la red exploits que se aprovechan de vulnerabilidades aún no corregidas por el fabricante (zero-day exploits), un sistema que navegue con una cuenta limitada recibe un impacto muchísimo menor que un sistema que navegue con una cuenta administrativa. No todas las vulnerabilidades aprovechan los privilegios del usuario que ha iniciado sesión (por ejemplo la vulnerabilidad RPC aprovechada por Blaster/Sasser), pero sí un alto número de ellas. Por ello, le aconsejo que siempre navegue por Internet con una cuenta con los menores privilegios posibles y, obviamente, que mantenga completamente actualizado su sistema Windows desde Microsoft Update (http://update.microsoft.com/microsoftupdate).

Nota: Para eliminar el malware del sistema fue necesario iniciar el sistema en Modo seguro y eliminar manualmente ciertos ficheros maliciosos del directorio System32. Siempre que desee eliminar el malware de un sistema pase las herramientas apropiadas en Modo seguro (pulse F8 antes de que aparezca la pantalla de carga de Windows y seleccione "Modo seguro" en el menú). Esto permite que no haya procesos maliciosos residentes que se regeneren al ser matados o que produzcan errores del tipo "archivo en uso" cuando tratamos de eliminarlos físicamente. Curiosamente -con el sistema iniciado normalmente, no en Modo seguro- un vistazo a la lista de procesos con Process Explorer (http://www.sysinternals.com/Utilities/ProcessExplorer.html) indicaba que, una vez matado cualquier proceso malicioso reaparecía "colgando" del proceso Winlogon.exe (legítimo de Windows y encargado del inicio de sesión).

3 comentarios:

Peni dijo...

Una prueba muy ilustrativa :-) Espero que ayude a concienciar a los usuarios de los buenos habitos en la navegación.

Daniel Martín dijo...

Conforme vaya avanzando el desarrollo de Windows Vista tengo previsto escribir un poco sobre UAP ("User Account Protection") ya sea por aquí o en el blog de MS Ibérica sobre Vista (http://blogs.technet.com/windowsvista/).

Peni dijo...

Espero que UAP cumpla las expectativas que tenemos puestas en el :-)