" />

Notícias

Enero 2009

    Worm:Win32/Conficker.A

    Documento sin título Informacion sobre el destructivo gusano

     

    Informacion sobre el destructivo gusano

    "Worm:Win32/Conficker.A", el fabricante Shavlik nos ha comunicado la urgencia de asegurar

    que el parche crítico MS08-067 OOB Patch - Conficker - Downadup worm está desplegado correctamente

    en TODO el parque informático (PCs, servidores, portátiles, máquinas virtuales, etc) desde el pasado mes de octubre.

     

    Algunos de los problemas que  está ocasionando son:

     

    1. El gusano está atacando a sistemas no parcheados y desactiva WSUS   

    2. Inicia un servidor de web en el equipo infectado

    3. Si el gusano no puede encontrar un equipo para propagarse sin el parche,

    entonces intenta logearse al equipo utilizando un "ataque de fuerza bruta".

    Éste es un método antiguo para intentar entrar en un equipo al intentar utilizar

    credenciales y contraseñas comunes como "admin", "contraseña" o "cliente". Estos

    ataques intentan entrar probando con una lista extensiva de palabras estándar, típicamente conocidas

    como diccionario de ataque.

     

    Podéis consular los comentarios del Jefe de Segurdidad de Shavlik,

    Eric Shultze, en este enlace: http://www.shavlik.com/desk-of-the-cto.aspx

     

    los clientes de Shavlik desplegaron este parche fácilmente y pudieron

    remediar su propagación en el mes de octubre, y por tanto, han quedado inmunes

    a la peligrosidad de este gusano, que ahora ha sido creado para explotar la vulnerabilidad

    que reparaba el parche MS08-067. Podéis ver un vídeo de 6 minutos que ilustra la simplicidad y

    automatización en aplicar específicamente un parche urgente como éste con la herramienta de Shavlik:

      http://www.shavlik.com/webinar/web-20081218-ms-out-of-band-patch.wmv

     

    Básicamente la mayoría de ataques entran a través de sistemas mal configurados y no parcheados.

    En este caso el gusano ataca una vulnerabilidad que queda mitigada por el parche crítico MS08-067.

    Pero con WSUS la gestión de parches no está automatizada, ni es fácil de usar ni ofrece un control

    personalizado de la red, con lo que el esfuerzo que supone aplicar un parche crítico fuera del ciclo

    normal implica demasiado trabajo y es disruptivo, con lo que en muchos casos los equipos quedan expuestos

    a la explotación de las vulnerabilidades, que son conocidas pero no atendidas a tiempo.

     

    Si no tenéis la seguridad de estar protegidos de este gusano, os sugerimos que descarguéis una versión

     de evaluación de Shavlik ya que:

     

    1. Fue la primera herramienta de parches en lanzar el parche crítico MS08-067

    2. Es muy fácil realizar la instalación de parches a un grupo definido de PCs y

    por tanto se minimiza el impacto operativo en la organización

    3. Es muy fácil desinstalar aplicaciones o servicios de web que pueden iniciar servicios

    4. Es muy fácil configurar sistemas con políticas robustas de contraseñas y controlar cuentas de usuarios

    5. Es muy fácil obtener una visión comprensible de la red y ayuda a remediar de la forma más eficiente

    6. Este ataque ha aprovechado para entrar en portátiles, servidores y máquinas virtuales que están en

    línea pero quedaron sin parchear o estaban mal configurados.