Gracias a las malas decisiones de diseño, AutoRun fue una vez un gran problema de seguridad en Windows. AutoRun permitió que el software malintencionado se iniciara tan pronto como insertara discos y unidades USB en su computadora.
Esta falla no solo fue aprovechada por los autores de malware. Fue utilizado por Sony BMG para ocultar un rootkit en CD de música. Windows ejecutaba e instalaba automáticamente el rootkit cuando insertaba un CD de audio Sony malicioso en su computadora.
El origen de AutoRun
RELACIONADO: No todos los "virus" son virus: explicación de diez términos de software malicioso
AutoRun fue una característica introducida en Windows 95. Cuando insertaba un disco de software en su computadora, Windows leería automáticamente el disco y, si se encontraba un archivo autorun.inf en el directorio raíz del disco, automáticamente iniciaría el programa. especificado en el archivo autorun.inf.
Por eso, cuando insertaba un CD de software o un disco de juego de PC en su computadora, automáticamente se iniciaba un instalador o una pantalla de presentación con opciones. La función se diseñó para facilitar el uso de estos discos y reducir la confusión del usuario. Si AutoRun no existiera, los usuarios tendrían que abrir la ventana del explorador de archivos, navegar hasta el disco y ejecutar un archivo setup.exe desde allí.
Esto funcionó bastante bien durante un tiempo y no hubo grandes problemas. Después de todo, los usuarios domésticos no tenían una manera fácil de producir sus propios CD antes de que se generalizaran las grabadoras de CD. En realidad, solo se encontraría con discos comerciales y, en general, eran confiables.
Pero incluso en Windows 95, cuando se introdujo AutoRun, no estaba habilitado para disquetes . Después de todo, cualquiera podía colocar los archivos que quisiera en un disquete. AutoRun para disquetes permitiría que el malware se propague de un disquete a una computadora y de una a otra.
Reproducción automática en Windows XP
Windows XP refinó esta característica con una función de "Reproducción automática". Cuando insertó un disco, una unidad flash USB u otro tipo de dispositivo de medios extraíbles, Windows examinará su contenido y le sugerirá acciones. Por ejemplo, si inserta una tarjeta SD que contiene fotos de su cámara digital, le recomendará que haga algo apropiado para los archivos de imágenes. Si una unidad tiene un archivo autorun.inf, verá una opción que le preguntará si también desea ejecutar automáticamente un programa desde la unidad.
Sin embargo, Microsoft todavía quería que los CD funcionaran igual. Por lo tanto, en Windows XP, los CD y DVD seguirían ejecutando programas automáticamente en ellos si tuvieran un archivo autorun.inf, o comenzarían a reproducir automáticamente su música si fueran CD de audio. Y, Debido a la arquitectura de seguridad de Windows XP, esos programas probablemente se iniciarían con acceso de administrador. . En otras palabras, tendrían acceso completo a su sistema.
Con unidades USB que contienen archivos autorun.inf, el programa no se ejecutará automáticamente, pero le presentará la opción en una ventana de Reproducción automática.
Aún puede deshabilitar este comportamiento. Había opciones enterradas en el propio sistema operativo, en el registro y en el editor de políticas de grupo. También puede mantener presionada la tecla Mayús mientras inserta un disco y Windows no realiza el comportamiento de ejecución automática.
Algunas unidades USB pueden emular CD e incluso los CD no son seguros
Esta protección comenzó a romperse de inmediato. SanDisk y M-Systems vieron el comportamiento de CD AutoRun y lo querían para sus propias unidades flash USB, por lo que crearon Unidades flash U3 . Estas unidades flash emulaban una unidad de CD cuando las conectas a una computadora, por lo que un sistema Windows XP iniciará programas automáticamente en ellas cuando estén conectadas.
Por supuesto, incluso los CD no son seguros. Los atacantes podrían grabar fácilmente una unidad de CD o DVD, o utilizar una unidad regrabable. La idea de que los CD son más seguros que las unidades USB es errónea.
Desastre 1: El fiasco de Sony BMG Rootkit
En 2005, Sony BMG comenzó a distribuir rootkits de Windows en millones de sus CD de audio. Cuando insertaba el CD de audio en su computadora, Windows leería el archivo autorun.inf y automáticamente ejecutaría el instalador de rootkit, que infectó furtivamente su computadora en segundo plano. El propósito de esto era evitar que copie el disco de música o lo extraiga a su computadora. Debido a que normalmente se trata de funciones compatibles, el rootkit tuvo que subvertir todo su sistema operativo para suprimirlas.
Todo esto fue posible gracias a AutoRun. Algunas personas recomendaron mantener presionada la tecla Mayús cada vez que insertara un CD de audio en su computadora, y otras se preguntaron abiertamente si se consideraría mantener presionada la tecla Mayús para evitar que se instale el rootkit. una violación de las prohibiciones anti-elusión de la DMCA contra eludir la protección contra copias.
Otros han relatado la larga y lamentable historia su. Digamos que el rootkit era inestable, el malware se aprovechó del rootkit para infectar más fácilmente los sistemas Windows, y Sony recibió un gran y merecido ojo morado en la arena pública.
Desastre 2: El gusano Conficker y otros programas maliciosos
Conficker fue un gusano particularmente desagradable que se detectó por primera vez en 2008. Entre otras cosas, infectó dispositivos USB conectados y creó archivos autorun.inf en ellos que ejecutarían malware automáticamente cuando se conectaran a otra computadora. Como empresa antivirus CASO escribió:
"Las unidades USB y otros medios extraíbles, a los que se accede mediante las funciones Autorun / Autoplay cada vez que (de forma predeterminada) los conecta a su computadora, son los portadores de virus más utilizados en estos días"
Conficker fue el más conocido, pero no fue el único malware que abusó de la peligrosa función AutoRun. AutoRun como función es prácticamente un regalo para los autores de malware.
Windows Vista deshabilitó la ejecución automática de forma predeterminada, pero ...
Microsoft finalmente recomendó que los usuarios de Windows desactiven la función de ejecución automática. Windows Vista hizo algunos cambios buenos que Windows 7, 8 y 8.1 han heredado.
En lugar de ejecutar automáticamente programas desde CD, DVD y unidades USB que se hacen pasar por discos, Windows simplemente muestra el cuadro de diálogo Reproducción automática para estas unidades también. Si un disco o unidad conectado tiene un programa, lo verá como una opción en la lista. Windows Vista y las versiones posteriores de Windows no ejecutarán programas automáticamente sin preguntarle; tendrá que hacer clic en la opción "Ejecutar [program].exe" en el cuadro de diálogo Reproducción automática para ejecutar el programa e infectarse.
RELACIONADO: No entre en pánico, pero todos los dispositivos USB tienen un problema de seguridad masivo
Pero aún sería posible que el malware se propague a través de la reproducción automática. Si conecta una unidad USB maliciosa a su computadora, todavía está a un clic de ejecutar el malware a través del cuadro de diálogo Reproducción automática, al menos con la configuración predeterminada. Otras características de seguridad como UAC y su programa antivirus puede ayudarlo a protegerse, pero aún así debe estar alerta.
Y, lamentablemente, ahora tenemos una amenaza de seguridad aún más aterradora de los dispositivos USB tener en cuenta.
Si quieres puedes deshabilitar la reproducción automática por completo O solo para ciertos tipos de unidades, por lo que no aparecerá una ventana emergente de reproducción automática cuando inserte un medio extraíble en su computadora. Encontrarás estas opciones en el Panel de control. Realice una búsqueda de "reproducción automática" en el cuadro de búsqueda del Panel de control para encontrarlos.
Credito de imagen: aussiegal en Flickr , m01229 en Flickr , Lordcolus en Flickr
