• Artículo

Vigilancia de seguridadAtaque de red desde enlace remoto:la atracción contagiosa de la mercadotecnia del proveedor

Jesper M. Johansson

La técnica de ataque de red desde enlace remoto, es decir, penetrar en una red desde un vínculo no seguro y atacar los sistemas de dicha red, ha existido desde hace años.Pero continúa conquistando nuevas dimensiones.En los entornos actuales de TI conscientes de la seguridad, las personas son a menudo el vínculo más deficiente, y los usuarios malintencionados

pueden encontrar maneras de aprovechar esta vulnerabilidad (por ejemplo, suplantación de identidad, o phishing, y otras formas de ingeniería social).Esta combinación puede ser desastrosa para su red.

Una de mis implementaciones favoritas para aprovechar el elemento humano fue llevada a cabo por Steve Stasiukonis, de Secure Network Technologies, durante unas pruebas de penetración para un cliente."Sembró" todo el aparcamiento de clientes con unidades flash USB, cada una de las cuales tenía un troyano instalado.Cuando los empleados llegaron al trabajo por la mañana, les encantó encontrar estos dispositivos gratuitos desperdigados por todo el aparcamiento.Los empleados se llevaron las unidades USB y las conectaron al primer equipo que encontraron a su paso:en este caso, sus propias estaciones de trabajo.

Quizá algunos empleados fueron lo suficientemente inteligentes como para omitir estas unidades USB y puede que algunas de estas unidades USB fueran desechadas, pero simplemente un usuario que ponga en funcionamiento la unidad podría infectar su propio sistema y convertirlo en puerta de enlace a la red.Stasiukonis realizó este ejercicio como una prueba, por supuesto, pero esta técnica la han usado auténticos criminales para infiltrarse en grandes redes corporativas.

Las unidades flash USB están por todas partes estos días.En prácticamente todos los congresos, ciertos proveedores las regalan como si fueran caramelos.Estas unidades pueden no tener mucha capacidad, pero no es necesaria mucha capacidad de almacenamiento para infectar toda la red.En esta serie de dos partes, investigaré este tipo de ataque y le mostraré una serie de métodos que le ayudarán a mitigar el riesgo.En el número de este mes, explicaré exactamente lo que pueden hacer las unidades flash USB y lo que puede hacer para controlarlas.En el número del próximo mes de TechNet Magazine, le mostraré cómo contener un ataque en un conjunto único o pequeño de sistemas en la red.

Los detalles técnicos del ataque son realmente bastante sencillos.Todo comienza con una unidad flash USB infectada que se inserta en un solo equipo.Lo que sucede a continuación depende de la carga útil en esta unidad y, por supuesto, de lo ingenuo que pueda ser el usuario.

Los comienzos

En la tribuna había un equipo portátil desatendido.El conferenciante intentaba afanosamente integrarse con el público antes de empezar su presentación.El equipo portátil estaba bloqueado, pero eso no importaba.El atacante subió a la tribuna y dejó pasar un rato; parecía que esperaba a que regresase el conferenciante.Puesto que estas tribunas se diseñan para que oculten cosas que puedan parecer feas, como los equipos y los puertos USB, las manos del atacante estaban ocultas a la vista.Una vez que la unidad flash USB se insertó en el equipo, sólo tardó unos pocos segundos en llevar a cabo el ataque.

Hay algunas variaciones obvias de este tema en particular.Por ejemplo, cuando solía viajar por todo el mundo realizando presentaciones cada semana, cada vez que terminaba, algunas personas me pedían copias de mis diapositivas.Mi respuesta siempre consistía en entregarles una tarjeta y pedirles que me enviasen un mensaje de correo electrónico.Y eso, ¿por qué, si todos tenían una unidad flash USB que querían usar para tal fin?Porque conozco herramientas como USB Hacksaw y Switchblade.Si no está familiarizado con las mismas, obtenga más información sobre ellas en wiki.hak5.org.

Básicamente, estas herramientas permiten prácticamente a cualquiera sacar provecho de aquellas personas que dejan sus puertos USB desprotegidos.Por ejemplo, Switchblade permite volcar lo siguiente:

  • Información del sistema
  • Todos los servicios de red
  • Una lista de los puertos que escuchan
  • Todas las claves de producto de los productos de Microsoft en el equipo
  • La base de datos de contraseñas local
  • La contraseña de cualquier red inalámbrica que use el equipo
  • Todas las contraseñas de red que haya almacenado en el equipo el usuario que ha iniciado sesión
  • Contraseñas de Internet Explorer®, Messenger, Firefox y de correo electrónico
  • Los secretos de la Autoridad local de seguridad (LSA), que contienen todas las contraseñas de cuenta de servicio en texto no cifrado
  • Una lista de las revisiones instaladas
  • Un historial reciente de exploración

Todo esto formará parte de un archivo de registro de la unidad flash y tan solo tarda unos 45 segundos en completarse.

Hacksaw es una versión ligeramente modificada; instala un troyano en el equipo, el cual supervisa todos los eventos de inserción de la unidad flash USB.A continuación, manda un correo electrónico con todos los documentos de todas las unidades flash insertadas posteriormente en el equipo al atacante.

Las herramientas que he mencionado hasta ahora usan U3 (u3.com), una tecnología diseñada para permitir a los usuarios incluir programas en una unidad flash.En pocas palabras, una unidad flash habilitada para U3 miente acerca de sí misma.Dice al SO que es realmente un concentrador USB con una unidad flash y un CD conectado al mismo.Las versiones de Windows® anteriores a Windows Vista® ejecutarán automáticamente, de manera predeterminada, los programas designados en el archivo autorun.inf en los CD, pero no en las unidades USB.Mintiendo acerca de sí misma, la unidad flash USB habilitada para U3 engaña al SO para que ejecute automáticamente el selector de U3.El selector de U3, a su vez, puede iniciar programas, ofrecer menús y casi cualquier otra cosa que el usuario pudiera hacer con su equipo.

Lo único que hacen las herramientas de explotación es reemplazar el selector con el código de explotación.Tan pronto como la unidad flash se conecta a un sistema Windows XP, la herramienta de explotación se ejecuta automáticamente.En Windows Vista, el flujo de decisión de Reproducción automática funciona de forma distinta.La función Reproducción automática está actualmente habilitada en dispositivos extraíbles, como en los CDs.Esto significa que se implementará algún tipo de acción cuando se inserte el dispositivo.De manera predeterminada, el cuadro de diálogo Reproducción automática aparecerá, tal como se muestra en la Figura 1.

Figura 1 El cuadro de diálogo predeterminado Reproducción automática aparece cuando un usuario inserta una unidad extraíble con imágenes.

Figura 1** El cuadro de diálogo predeterminado Reproducción automática aparece cuando un usuario inserta una unidad extraíble con imágenes. **

Observe que el cuadro de diálogo de la Figura 1 tiene una opción "Always do this for pictures" ("Hacer siempre esto con las imágenes").Esto configura una opción de Reproducción automática, que puede configurarse en el Panel de control, mostrado en la Figura 2.

Figura 2 Configuración de Reproducción automática en Windows Vista

Figura 2** Configuración de Reproducción automática en Windows Vista **(Hacer clic en la imagen para ampliarla)

La configuración de Reproducción automática es especialmente interesante para software y juegos.Por definición, significa que la unidad extraíble tiene un archivo autorun.inf que especifica algún programa que va a ser ejecutado.La configuración de la Figura 2 relacionada con software y juegos se almacena en la siguiente clave del Registro:

Hive:    HKEY_CURRENT_USER
Key:    \Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\
UserChosenExecuteHandlers\AutorunINFLegacyArrival 
Value: (Default)
Data:
MSAutoRun – automatically executes the program specified in the autorun.inf file
   
MSPromptEachTime – prompts the user, using strings specified in the autorun.inf file, if available

Puesto que no es necesario que sea administrador para modificar estas opciones, los usuarios pueden configurarlas según sus preferencias, incluso pueden ejecutar automáticamente cualquier malware que esté en la unidad que encontraron en el aparcamiento.De hecho, lo pueden hacer activando la casilla adecuada en el cuadro de diálogo Reproducción automática.

Administración de Reproducción automática en su red

Como administrador, hay un par de métodos que puede usar para administrar la función Reproducción automática en su red.En primer lugar, puede evitar que un usuario habilite la Reproducción automática en medios extraíbles y CDs modificando la configuración NoDriveTypeAutoRun que controla para qué tipos de unidades está habilitada esta función.Windows XP venía con NoDriveTypeAutoRun configurado como 0x95, lo cual deshabilita la Reproducción automática en tipos de unidades desconocidas, en unidades de red y en dispositivos extraíbles.A partir de Windows XP SP2, la configuración de NoDriveTypeAutoRun es 0x91 de manera predeterminada.Esto permite la Reproducción automática en dispositivos de almacenamiento extraíbles.Si se usa la directiva de grupo, hay una opción en Configuración de usuario\Plantillas administrativas\Componentes de Windows\Directivas de Reproducción automática que permite administrar la configuración de NoDriveTypeAutoRun.Si habilita "Desactivar la configuración de Reproducción automática y seleccionar CD-ROM y unidades extraíbles", se deshabilitará la Reproducción automática en ambos tipos de unidades.

Como resultado, no obstante, el usuario no obtiene el cuadro de diálogo Reproducción automática de la Figura 1.De hecho, no ocurre nada cuando el usuario inserta la unidad de disco.No obstante, puede que esto no sea una solución ideal, ya que puede producir confusión en el usuario que no sepa cómo obtener acceso a la información de la unidad.

Lo que probablemente desee será controlar qué tipos de contenido se pueden reproducir automáticamente.Puede hacer esto hasta cierto punto en Windows Vista, ya que este sistema operativo tiene efectivamente dos niveles de control sobre el software que se ejecuta automáticamente.Otro control en la directiva de grupo, mostrado en la Figura 3, permite desactivar la Reproducción automática del software que use archivos autorun.inf, dejando intacto el resto del comportamiento de Reproducción automática en Windows Vista.

Figura 3 Deshabilite los archivos autorun.inf con la directiva de grupo

Figura 3** Deshabilite los archivos autorun.inf con la directiva de grupo **(Hacer clic en la imagen para ampliarla)

El flujo de decisión es algo complicado en lo que se refiere a la Reproducción automática, y quizás sea más fácil mostrarlo con un diagrama de flujo.La Figura 4 representa el flujo de decisión usado para determinar si se debe ejecutar automáticamente un archivo en un medio extraíble.

Figura 4 El flujo de decisión de Reproducción automática

Figura 4** El flujo de decisión de Reproducción automática **(Hacer clic en la imagen para ampliarla)

Otros comienzos

Por supuesto, estas son simplemente algunas de las herramientas que pueden usarse para poner en peligro un equipo con una unidad flash USB.Se pueden añadir todo tipo de herramientas a este escenario, como una herramienta que expulsa el hash de contraseña de Windows NT® del usuario que haya iniciado la sesión (consulte microsoft.com/technet/community/columns/secmgmt/sm1005.mspx).

Muchos controladores USB son realmente dispositivos de Acceso directo a memoria (DMA).Esto significa que pueden omitir el sistema operativo, y llevar a cabo operaciones de lectura y escritura directamente en la memoria del equipo.Si omite el sistema operativo y los controles de seguridad que proporciona, ya tiene acceso completo y libre al hardware.Esto convierte en ineficaz el control de dispositivos implementado por el SO.No conozco herramientas de piratería que usan actualmente esta técnica, pero dudo mucho que no las haya.

Otra manera de aprovechar la combinación usuario/dispositivo extraíble es presentar simplemente una opción que resulte atractiva.Por ejemplo, ¿cuántos usuarios harían clic en el cuadro de diálogo de la Figura 5?No todos, pero probablemente muchos.La idea básica es que es una tarea bastante sencilla crear un cuadro de diálogo que sea tan llamativo que los usuarios no puedan resistir la tentación de utilizarlo.

Figura 5 ¿Cuántos usuarios caerían en la trampa?

Figura 5** ¿Cuántos usuarios caerían en la trampa? **

Bloqueo de dispositivo

Como novedad en Windows Vista, la directiva de grupo tiene un conjunto de directivas para controlar la instalación de dispositivos (consulte la Figura 6).Tal como se muestra, el administrador puede bloquear la instalación de todos los dispositivos extraíbles si la unidad especifica que son extraíbles.Si el controlador indica que no lo son, sin embargo, la directiva no surte efecto.Así, esta directiva puede evitarse usando controladores personalizados.

Figura 6 Directivas de instalación de dispositivos en Windows Vista

Figura 6** Directivas de instalación de dispositivos en Windows Vista **(Hacer clic en la imagen para ampliarla)

Para obtener un control más granular, el administrador puede usar las directivas para actuar sobre clases específicas de instalación de dispositivos.Sin embargo, estas requieren conocer el GUID para la clase específica de dispositivo que desea bloquear (o permitir), lo que dificulta bastante la administración de este enfoque.

Los privilegios mínimos importan realmente

Si omitimos el escenario de DMA por un momento, el éxito de los ataques que he tratado, así como el éxito de las contramedidas, dependerá de los privilegios del usuario que usa el equipo.Si el usuario es un usuario estándar, el daño que puede provocar la vulnerabilidad es limitado.Todavía es posible obtener datos de usuario y cualquier cosa a la que este usuario tenga acceso.Sin embargo, el ataque no tendrá un gran impacto en la red.

No obstante, si el usuario atacado es un administrador, las consecuencias pueden ser mucho peores.En el peor de los casos, si el usuario es administrador de dominio, hacerse con la red entera resulta fácil.Por ejemplo, el atacante podría extraer el hash de la contraseña de usuario de la memoria.El sistema copia en caché el hash dentro del espacio del proceso LSA durante el inicio de sesión para que pueda usarse de forma transparente y obtener acceso a recursos de red en nombre del usuario.Un atacante con privilegios administrativos puede extraer este hash y tener acceso a cualquier recurso de red.Es decir, si el usuario es administrador de dominio, el dominio entero está en peligro.

Esto me lleva al tema de las dependencias.Hasta ahora, he resumido un ataque específico en estaciones de trabajo.No he explorado, sin embargo, lo que el ataque puede suponer a escala de red.En la columna del próximo mes, me introduciré en el concepto de las dependencias, explicaré lo que significan para el entorno en general y, lo que es más importante, lo que puede hacer para reforzar su seguridad.

Jesper M. Johansson es ingeniero de seguridad y trabaja en problemas de seguridad de software, asimismo colabora como editor en TechNet Magazine.Tiene un doctorado en MIS y más de 20 años de experiencia en el ámbito de la seguridad.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.