[Seguridad] El gusano Sasser, las lecciones no aprendidas

La recomendación: FORMATEAR


1 - El gusano Sasser, las lecciones no aprendidas
_____________________________________________________________

http://www.vsantivirus.com/02-05-04.htm

El gusano Sasser, las lecciones no aprendidas

Por Jose Luis Lopez
videosoft@videosoft.net.uy

Para muchos, parece repetirse la historia del Blaster o
Lovsan, y ciertamente hay muchos puntos en común. Primero,
ambos se basan en una vulnerabilidad hecha pública después de
publicarse el parche que la corrige:

16/07/03 - Microsoft publica el parche para la vulnerabilidad
RPC/DCOM (MS03-026)
11/08/03 - Se detecta la primera versión del gusano Blaster
(o Lovsan)

13/04/04 - Microsoft publica el parche para la vulnerabilidad
LSASS (MS04-011)
01/05/04 - Se detecta la primera versión del gusano Sasser

En ambos casos, es evidente que los usuarios han debido tener
el tiempo suficiente para actualizar sus equipos. En el caso
del Sasser, el propio Microsoft y sitios de seguridad como el
nuestro, publicaron varias veces en las últimas semanas,
sendas advertencias de la inminente posibilidad de la
aparición de un código malicioso que se aprovecharía de la
falla.

Luego del Blaster, podría suponerse que hay una lección
aprendida. Pero no es así.

Aunque al comienzo parecían existir algunas dudas respecto al
alcance de los fallos provocados por el nuevo gusano en
relación al Lovsan, con el correr de las horas puede
afirmarse que la cantidad de máquinas infectadas es
importante.

Un hecho significativo es el aumento notorio de visitas a
nuestro propio Web. En un solo día aumentaron las visitas
únicas (por usuario) de un promedio de 30,000 diarias en días
hábiles, a un total de casi 60,000 (siendo un sábado y además
feriado). Y la página más visualizada es la que describe al
gusano Sasser y como eliminarlo.

Por lo pronto, esa primera lección (la de actualizar nuestros
sistemas con los parches respectivos), parece claramente
reprobada.

Sigamos con las comparaciones. Ambos gusanos utilizan el
puerto TCP/445 para "rastrear" a sus víctimas, aunque sean
servicios diferentes los afectados.

Después de los ataques provocados por el Blaster, muchos
proveedores de Internet empezaron a bloquear el puerto 445.
Aunque ciertamente se han evitado con esto muchas más
infecciones de las que podrían haber ocurrido, los hechos
parecen corroborar que esto no es ningún consuelo debido a la
cantidad de infecciones existentes (que además van en
aumento).

Y seguramente el próximo primer día hábil de la semana, con
el mayor tráfico provocado por los cientos de miles de
máquinas encendidas en ambientes corporativos, se producirá
un importante pico en las infecciones, teniendo en cuenta
además, que este tipo de gusanos infecta por solo conectar
una máquina vulnerable a la red, y no es necesario abrir o
ejecutar ningún mensaje o adjunto.

La segunda lección (tampoco aprendida), es que un simple
cortafuegos (el incorporado por Windows XP o uno de
terceros), podría haber evitado la infección, como en el caso
del Blaster.

Pero existe otra similitud entre los dos gusanos, y es la
forma en que ambos comprometen indirectamente a nuestro
sistema. Uno de los mayores problemas con el Blaster, es la
vulnerabilidad existente y el exploit que la provoca.

Los piratas informáticos crearon numerosas herramientas que
se aprovechaban de ese agujero para implantar cualquier clase
de código o realizar cualquier acción en el sistema
vulnerable. De este modo, la infección con el gusano funciona
en realidad como una señal de alerta.

El gusano en si mismo no es el problema, solo sirve como
indicador de que alguien pudo hacer lo que se le antojó en
nuestro sistema. De allí que la limpieza básica de una
infección provocada por el Blaster, pasa por recomendar una
instalación limpia, con formateo incluido.

Esta afirmación, siempre suele generar muchas críticas, a las
que casi siempre respondo con una odiosa comparación.
Encontrarnos con el Blaster en nuestro sistema y quitarlo, es
como descubrir un día en la cocina de nuestra casa a un grupo
de terroristas almorzando tranquilamente, y echarlos a las
patadas. Eso no soluciona el problema, porque siempre va a
existir la posibilidad de que en alguna parte de nuestro
hogar, haya quedado una bomba a punto de estallar.

En el caso del Sasser, aunque no hay por el momento
evidencias de que existan herramientas que se aprovechen del
fallo en el proceso LSASS, si hay dos exploits, y muchos
puntos claves a tener en cuenta.

Este gusano crea un shell (una consola de comandos), que
puede permitir el ingreso de casi cualquier tipo de
instrucción que comprometa a nuestro sistema. También abre un
servidor FTP que permite el acceso a cualquier archivo. Y no
hay nada que nos asegure que por borrar al Sasser de nuestro
sistema, nos libraremos de la posibilidad de exista "una
bomba a punto de estallar" en alguna parte de nuestra casa.

Concretamente, no hay forma de saber cuántas nuevas
modificaciones del exploit están dando vueltas por Internet,
y cuantas formas maliciosas pueden llegar a crearse a partir
de las mismas. Por ello, detectar una infección con el gusano
Sasser, ameritaría no solo la limpieza del sistema infectado,
sino la completa reinstalación del mismo (y posterior
actualización de los parches e instalación o activación de un
cortafuegos), como única forma de asegurarnos contra las
posibles consecuencias.

Cómo seguramente habrán más exámenes, sería muy bueno que la
próxima vez tengamos mejor aprendidas las lecciones.


* Más información:

Preguntas frecuentes sobre el Sasser
http://www.vsantivirus.com/faq-sasser.htm

Preguntas frecuentes sobre el Lovsan (Blaster)
http://www.vsantivirus.com/faq-lovsan.htm