PRCTICO

184

TUTOR

W W W. P C W O R L D . E S

184-TUTOR VULNE.indd

DICIEMBRE 2004

184

17/11/2004, 11:42

TUTOR PRCTICO

LA MAYORA DE LOS VIRUS, GUSANOS Y DEMS CIBERATAQUES REALIZADOS CON XITO SON
POSIBLES GRACIAS A LA EXPLOTACIN DE UNAS POCAS VULNERABILIDADES QUE AFECTAN
SIEMPRE A UN PEQUEO NMERO DE SERVICIOS O DE COMPONENTES MUY IMPORTANTES DE
WINDOWS, LINUX Y UNIX.

LOS 20 FALLOS DE SEGURIDAD

MS CRTICOS DE
WINDOWS, LINUX Y UNIX
JORGE E. RODRGUEZ VEGA laboratorio@idg.es

En general, los atacantes suelen utilizar la filosofa del mnimo esfuerzo;

siempre recorren los caminos ms fciles y adecuados para sus propsitos,
explotando los defectos mejor conocidos y utilizando para sus malvolos
propsitos las herramientas de ataque
ms eficaces y difundidas. Los piratas
informticos siempre se valen del hecho de que la mayora de las empresas
no tapan con diligencia los agujeros de
seguridad de sus sistemas, de tal forma
que siempre aprovechan vulnerabilidades descubiertas anteriormente y
que todava no han sido parcheadas.
Su forma de ataque suele ser indis-

criminada, exploran Internet de forma

masiva en busca de los sistemas que
sigan siendo vulnerables y les envan
el exploit correspondiente para hacerse con su control o para infligirles el
mximo dao posible.
En el ao 2000, el Instituto SANS
y el Centro Nacional de Proteccin de la Infraestructura (NIPC),
departamento del FBI, emitieron
un documento que resuma las diez
vulnerabilidades de seguridad ms
crticas de Internet. Desde entonces, con una periodicidad anual estas
instituciones vienen publicando conjuntamente la lista de las 20 vulnera-

bilidades o debilidades ms utilizadas

para atacar los sistemas conectados
a Internet (Top-20). Se trata de las
vulnerabilidades que han utilizado la
mayora de los gusanos ms conocidos (por ejemplo, Blaster, Slammer,
Code Red o Nimda) para llevar a
cabo su infame tarea.
La lista de este ao, publicada el
pasado mes de octubre, est en realidad
dividida en dos listas: los diez servicios
o elementos de Windows ms atacados
y los correspondientes diez servicios o
componentes de UNIX/Linux. En el
presente artculo analizaremos brevemente las debilidades correspondientes
DICIEMBRE 2004

184-TUTOR VULNE.indd

185

17/11/2004, 11:42

W W W. P C W O R L D . E S

185

PRCTICO

TUTOR

a Windows, dejando las de Linux como

ejercicio posterior para el lector.
Seguimos insistiendo en lo mismo:
aunque este ao han hecho su aparicin
cientos, tal vez miles, de ataques a la
seguridad de los equipos informticos
conectados a Internet, la mayora han
utilizado uno o varios de los servicios
o componentes vulnerables que SANS
ha compendiado y que nosotros analizaremos de forma resumida aqu.

1. Instalacin predeterminada
de los servidores HTTP (web)
y de sus servicios asociados

La instalacin por defecto, con la configuracin predeterminada, de los servidores web incluidos en Windows
puede provocar: ataques por denegacin de servicio, riesgos para sus archivos o datos sensibles, la ejecucin de
comandos arbitrarios en el servidor por
parte de un atacante o el compromiso
total de su seguridad.
Entre los servidores web que han
resultado vulnerables se encuentran
IIS (Internet Information Server), Apache e iPlanet (en la actualidad conocido
como SunOne). Todos ellos presentan
numerosos agujeros de seguridad que
se han ido sido parcheando a medida
que se han detectado.
Compruebe que ha instalado todos
los parches, que no est utilizando la
configuracin predeterminada de estos
servidores (lo cual suele ser una fuente
importante de problemas) y que tiene
desactivadas las aplicaciones de ejemplo incluidas en algunos servidores (tal
como IIS 5.0 y versiones anteriores).
En general, slo deber utilizar aquellos
servicios y funciones que sean imprescindibles para su trabajo.
Algunos de los gusanos que han utilizado esta vulnerabilidad son: Nimda,
Code Red y Code Red 2.

2. Servicio Windows
Workstation

Este servicio procesa las peticiones de

los usuarios para acceder a determinados recursos, tales como archivos
o impresoras. El servicio Windows
Workstation determina si el recurso
186

W W W. P C W O R L D . E S

184-TUTOR VULNE.indd

INSTITUTO SANS
Este organismo es uno de los ms prestigiosos y activos, desde el punto de vista de la seguridad
informtica, que existen actualmente en todo el mundo. Desarrolla, actualiza y distribuye de forma gratuita un gran volumen de informacin y documentacin relacionada con distintos aspectos de la seguridad de la informacin y es responsable de la operacin de uno de los sistemas de
vigilancia temprana de Internet ms reconocidos: el Internet Storm Center. El Instituto SANS, cuyo nombre es el acrnimo en
ingls de Administracin de
Sistemas (SysAdmin), Auditora, Redes (Network) y Seguridad, fue fundado en 1989
como una institucin de formacin y de investigacin.
Sus programas de formacin llegan en la actualidad
a ms de 165.000 profesionales entre los que se incluyen:
auditores, administradores
de sistemas, administradores de red, responsables de
seguridad de TI, etc. En el corazn de SANS se encuentran cientos de profesionales que trabajan
en agencias gubernamentales, empresas y universidades de todo el mundo. Si desea conocer
ms detalles sobre esta prestigiosa institucin o acceder a sus numerosos trabajos desarrollados en el campo de la seguridad informtica, no tendr ms que conectarse a www.sans.org/
aboutsans.php. Si desea acceder a la lista exhaustiva de las 20 vulnerabilidades que analizamos
en este artculo podr hacerlo desde www.sans.org/top20.

se encuentra en el sistema local o si se

trata de un recurso compartido de red,
y encamina la peticin del usuario en la
forma apropiada.
Por desgracia, este servicio puede sufrir un desbordamiento de bfer
basado en la pila de Windows que
podr provocar determinadas llamadas
especialmente preparadas. Este desbordamiento puede ser explotado por
usuarios remotos no autenticados que
podrn ejecutar el cdigo que deseen
en la mquina vulnerable con los privilegios de System, lo que permitir un
acceso ilimitado en el sistema atacado.
Esta vulnerabilidad de desbordamiento de bfer se encuentra presente en
el servicio Workstation de Windows
2000 (SP2, SP3 y SP4) y Windows XP
(hasta SP1). Uno de los gusanos que
utiliz con xito esta vulnerabilidad fue
el denominado Phatbot/Gaobot, que
infect a millones de ordenadores.
Una vez ms, la mejor forma de evitar esta vulnerabilidad es instalar los

parches correspondientes de Windows

o instalar el SP 2 de XP si est utilizando este sistema operativo.

3. Configuracin inapropiada
de los recursos compartidos
de red y de los protocolos
de acceso remoto

No hay duda de que la existencia de

protocolos de comunicaciones, que
permiten a un usuario manipular archivos remotos como si estuvieran
en su equipo local, es una funcin de
Windows de gran potencia y utilidad.
Sin embargo, una inadecuada configuracin de los recursos compartidos de
la red puede poner en peligro ciertos
archivos crticos del sistema o proporcionar a los atacantes un mecanismo
para obtener un control total del host.
Algunas de las funciones potencialmente peligrosas son: Anonymous Logon (Inicio de sesin annima), Remote
registry access (Acceso remoto al registro) y Remote procedure calls (llamadas

DICIEMBRE 2004

186

17/11/2004, 11:42

PRCTICO

TUTOR

a los procedimientos remotos o RPC).

Una de las formas en las que los
gusanos de la familia Klez y Nimda, o
el virus Sircam se extendieron tan rpidamente, fue la utilizacin de un recurso compartido de red no protegido.
Esta familia de vulnerabilidades afecta
a todas las versiones del sistema operativo Windows, desde Windows 95
hasta Windows 2003. El Service Pack
2 (SP2) de Windows XP ha resuelto
numerosos problemas asociados con las
RPC. Una vez ms, la mejor forma de
protegerse frente a estos problemas es
instalar la ltima versin disponible del
Service Pack correspondiente y los ltimos parches aparecidos para la versin
del sistema operativo.

4. Vulnerabilidades asociadas
a Microsoft SQL Server

Este sistema gestor de bases de datos

desarrollado por Microsoft ha presentado desde su aparicin diversas y graves vulnerabilidades que permitan a los
atacantes remotos obtener informacin
de importancia, modificar el contenido
de las bases de datos, poner en peligro
los servidores SQL y, en determinados
casos, hacerse con el control del servi-

Figura 1. Un buen lugar para encontrar informacin sobre virus es la Enciclopedia de Virus que
podr encontrar en los sitios web de las empresas de antivirus.

das mediante contraseas robustas. Por

su parte, el gusano SQLSlammer basaba su ataque en un desbordamiento de
bfer en el servicio SQL Server Resolution. En este caso, se podra haber evitado este ataque instalando el parche que
anulaba esta vulnerabilidad.

to de la mquina o del sistema. Sin embargo, a pesar de que esta amenaza es

bien conocida, son muchos los sistemas
y empresas que carecen de una buena
poltica de contraseas.
En otras ocasiones, los algoritmos de
cifrado utilizados para proteger las con-

El Instituto SANS y el Centro Nacional de Proteccin

de la Infraestructura (NIPC) del FBI publican la lista
de las 20 vulnerabilidades o debilidades ms utilizadas
para atacar los sistemas conectados a Internet
dor. Todas estas vulnerabilidades son
bien conocidas en el mundo hacker y
han servido de base para recientes ataques masivos en Internet protagonizados por los gusanos SQLSnake, Spida
y SQLSlammer. Por ejemplo, el ataque
del gusano SQLSnake se basaba en que
la cuenta del administrador de la base
de datos tuviera definida una contrasea nula. Resulta de la mxima importancia asegurarse de que todas las
cuentas, especialmente si se trata de las
cuentas administrativas, estn protegi188

W W W. P C W O R L D . E S

184-TUTOR VULNE.indd

5. Autenticacin de Windows

Una de las causas ms frecuentes de la

falta de seguridad en los sistemas informticos de las empresas suele ser la no
utilizacin de contraseas para proteger
cuentas de usuario o sistemas informticos, o el empleo de contraseas
dbiles o fcilmente adivinables. Si un
atacante consigue detectar una cuenta o
un recurso no protegido mediante una
contrasea podr hacerse con el control
del mismo y, tal vez, seguir escalando
privilegios hasta aduearse por comple-

traseas definidas por los usuarios, son

dbiles y fcilmente explotables. Uno
de los algoritmos de autenticacin utilizado por Windows (LM-LanManager) es dbil y sus contraseas pueden
ser descifradas en poco tiempo. Este
algoritmo de autenticacin sigue siendo utilizado de forma predeterminada
por las versiones NT, 2000 y XP de
Windows. Algunas de las herramientas software que podr utilizar para
detectar en su sistema cuentas de usuario con contraseas dbiles o mal pro-

DICIEMBRE 2004

188

17/11/2004, 11:42

PRCTICO

TUTOR

tegidas por el algoritmo LM son LC6

(l0phtcrack versin 6) y John the Ripper.
La mejor forma de defenderse contra esta vulnerabilidad es utilizar una
buena poltica (directiva) de contraseas que incluya instrucciones detalladas
sobre cmo generar contraseas robustas y difciles de romper (combinaciones
de caracteres alfanumricos, maysculas y minsculas, y caracteres de control). Para definirla en Windows puede
abrir el Panel de Control, seleccionar
Herramientas administrativas, elegir Directivas de seguridad local
y definir las opciones relacionadas con
las contraseas (vea la Figura 2).
Otro punto a tener en cuenta ser
desactivar la autenticacin LM en su
red informtica y proteger sus archivos
de contraseas (SAM) para impedir su
captura y anlisis.

6. Exploradores web

Los exploradores o navegadores son las

aplicaciones informticas mediante las
que los usuarios acceden al servicio web
de Internet. El explorador dominante en
Windows es Internet Explorer (IE), que
es el explorador instalado de forma predeterminada en las plataformas Windows, pero hay otros muchos exploradores
web disponibles, entre ellos Opera, Mozilla, Firefox y Netscape. Todos ellos presentan vulnerabilidades de seguridad, en
ocasiones crticas, que permitirn al atacante hacerse con el control del sistema.
Los problemas son mltiples: son mu-

Figura 2. Cmo definir una buena poltica de contraseas en Windows.

chas las vulnerabilidades existentes en

estas aplicaciones, los usuarios no aplican los parches que permiten corregirlos,
los controles ActiveX y Active Scripting
permiten que el atacante supere los mecanismos de seguridad instalados.
Adems, con frecuencia, en el PC
del usuario se instalan de forma inadvertida aplicaciones spyware y adware
que, en ocasiones, debilitan la seguridad de los sistemas, etc. Los diseadores web malintencionados pueden
crear pginas web que saquen partido a
estas debilidades sin ms que el usuario
explore dichas pginas web (este fue el
caso de la vulnerabilidad denominada
Download.Ject). Los ataques de este
tipo pueden incluir el revelado de las
cookies y de archivos locales, la ejecucin de programas, la descarga y ejecucin de cdigo malvolo, o el control
total del sistema vulnerable.

LOS DIEZ SERVICIOS O ELEMENTOS

MS EXPLOTADOS EN UNIX/LINUX
U1. El sistema de nombres de dominio BIND.
U2. Los servidores web (Apache y Sun Java System Web Server, anteriormente iPlanet).
U3. Los sistemas de autenticacin (mal uso de las contraseas).
U4. Los sistemas de control de versiones (vulnerabilidades en CVS).
U5. El servicio de transporte de correo.
U6. El Protocolo Simple de Administracin de Red (SNMP).
U7. La Biblioteca Open Secure Sockets Layer (OpenSSL).
U8. Configuracin inadecuada de los Servicios NIS (Sistema de Archivos de Red) y NFS
(Servicio de Informacin de red) para compartir recursos de red.

U9. Bases de datos. Compromiso de la integridad y confidencialidad de los datos almacenados.

U10. El ncleo (kernel) del sistema operativo. Existencia de mltiples vulnerabilidades.

190

W W W. P C W O R L D . E S

184-TUTOR VULNE.indd

Para mejorar la seguridad de IE y,

en general, de los dems exploradores
web, puede consultar el artculo aparecido en PC World n 214, de noviembre
de 2004, Cmo mejorar la proteccin
de Internet Explorer pero, como consejo habitual, utilice la ltima versin
disponible para el explorador e instale
todos los parches existentes a medida
que vayan apareciendo.

7. Programas

para compartir archivos

El nmero de usuarios de las aplicaciones P2P (peer to peer o igual a igual)

sigue aumentando con rapidez. Estas
aplicaciones son uno de los sistemas
ms sencillos para descargar y distribuir
numerosos tipos de datos, desde archivos de msica hasta pelculas, grficos,
cdigo fuente, documentacin, etc. Son
muchos los empleos legtimos de este
servicio (por ejemplo, la distribucin de
cdigo y libreras del tipo OpenSource
o GPL, demos de juegos o trileres de
pelculas). En la actualidad, la mayora
de los programas P2P estn basados
en una red distribuida de clientes que
comparten directorios de archivos e,
incluso, discos duros completos, y con
ellos, gusanos, virus, caballos de troya y
todo tipo de malware. La clave de todo
este sistema es la descarga de archivos,
donde cada usuario juega simultneamente dos papeles, el de descargar contenidos de otros equipos y el de actuar,
adems, como servidor de contenidos
para otros usuarios. En ocasiones, el
trfico provocado por este tipo de tran-

DICIEMBRE 2004

190

17/11/2004, 11:42

TUTOR PRCTICO

sacciones es tan elevado que puede provocar la saturacin de las redes.

Este tipo de servicio presenta tres
tipos de vulnerabilidades:
- Las tcnicas, que son aquellas
que podrn ser explotadas de forma
remota por un atacante (por ejemplo,
denegaciones de servicios o acceso a
archivos no compartidos). Tambin se
incluyen en este grupo la instalacin
de aplicaciones spyware o adware que
pueden proporcionar informacin
sobre los hbitos de los usuarios a sus
diseadores.
- Las sociales, que son aquellas que
se basan en la modificacin o encubrimiento de un programa malintencionado (virus, caballos de troya, gusanos,
etc.) tras una apariencia inocente. En
general, la gran mayora de este software malvolo se podr detectar utilizando un simple antivirus.
- Las legales, que son aquellas que
resultan de las transgresiones en los
derechos de copia y propiedad o de la
comparticin de material que puede
resultar ofensivo y legalmente reprochable.
En la actualidad existen aplicaciones
P2P disponibles para todas las versiones del sistema operativo Windows (as
como de Linux y UNIX).
Si est intentando proteger una red
empresarial de este tipo de usos y abusos no permita que sus usuarios instalen
aplicaciones P2P en los PC corporativos. Su empresa debera emitir una
poltica que advirtiera a sus empleados de las infracciones en que podran
incurrir en el caso de descargar ilcitamente material protegido por las leyes
de la propiedad intelectual o por utilizar de forma inaceptable la conexin a
Internet de la empresa. Utilice un servidor proxy para controlar el acceso a
Internet de sus usuarios y vigile. Utilice
un buen antivirus empresarial.

8. Los peligros

del servicio LSAS

El servicio LSAS (Local Security Authority Subsystem), que est presente en

Windows 2000, Windows Server 2003
y Windows XP, contiene una vulnera-

bilidad crtica que permite la ejecucin

de un desbordamiento de bfer que
puede conducir al dominio total del
sistema. Este ataque puede realizarse
de forma remota y annima utilizando
una Llamada a Procedimiento Remoto (RPC) sobre los sistemas Windows
indicados anteriormente, aunque requiere privilegios administrativos para
que este ataque sea eficaz. El servicio
LSAS juega un papel muy importante
en el mecanismo de autenticacin y en
la funcionalidad del Directorio Activo
de Windows.
Algunos de los gusanos que han
utilizado esta vulnerabilidad con gran
xito han sido los conocidos Sasser y

2. DSScan desarrollada por Foundstone, con la que podr analizar toda

su red y enviar alertas a los sistemas
vulnerables. Podr descargarla de
www.foundstone.com/resources/
proddesc/dsscan.htm.
3. Sasser Worm Scanner, desarrollada por eEye, analiza si su sistema es
vulnerable al ataque LSASS y al gusano Sasser. Podr descargar esta herramienta en www.eeye.com.

9. El programa cliente del

servicio de correo de Internet

Como ya sabe, Microsoft Outlook es

el programa cliente de correo electrnico utilizado con mayor frecuencia por

Figura 3. Descarga del programa Nessus desde Internet.

Korgo. Los administradores debern

parchear adecuadamente sus sistemas
y aplicar todos los controles de acceso que sean necesarios en su red para
detener cualquier intento de abuso del
servicio RPC de Windows por parte de
atacantes remotos.
Existen tres herramientas gratuitas
que pueden detectar la existencia de
esta vulnerabilidad en su sistema:
1. Nessus, herramienta de anlisis de
vulnerabilidades basada en red (pruebe
a descargarla en www.softonic.com/
ie/11894/Nessus) (vase Figura 3).

los usuarios de Windows. Adems del

servicio de correo, Outlook es un administrador de informacin personal que
le proporciona funciones tales como calendario y administracin de contacto y
tareas. Este programa forma parte integrante de Windows desde las primeras versiones de este sistema operativo
(Windows 95).
Por desgracia, la aplicacin Microsoft
Outlook, y su versin reducida Outlook
Express, introducen vulnerabilidades
y puntos simples de fallo que pueden
llegar a comprometer todo el sistema.
DICIEMBRE 2004

184-TUTOR VULNE.indd

191

17/11/2004, 11:42

W W W. P C W O R L D . E S

191

PRCTICO

TUTOR

A travs del correo electrnico y de sus

anexos, cualquier usuario puede recibir virus, gusanos, cdigo malicioso y
muchas otras formas de ataque, as como
la difusin y recepcin masiva de correo
comercial no solicitado (Spam).
Por fortuna, las ltimas versiones de
Outlook y Outlook Express pueden
proteger a los usuarios de las amena-

tico para pasar al mbito de las comunicaciones empresariales, especialmente en

aquellas compaas que disponen de varios centros de trabajo dispersos por todo el pas o, incluso, en diferentes pases.
La mayor parte de los sistemas basados en Windows utilizan algunos de
estos sistemas de mensajera, de los cuales
los ms famosos son: Yahoo! Messenger

En muchas ocasiones, a nivel

empresarial, estas aplicaciones no slo
introducen este tipo de vulnerabilidades, sino que tambin implican la
aparicin de ciertos riegos de prdida
de la propiedad intelectual, de la confidencialidad de la informacin y de la
productividad de los empleados.
Una vez ms, no slo ser necesa-

Los diez consejos se podran resumir en slo dos: actualiza

tu sistema operativo y aplicaciones con el ltimo Service
Pack e instala todos los parches y actualizaciones
que hayan aparecido posteriormente
zas que acabamos de comentar, siempre
que hayan sido convenientemente configurados y parcheados. Instale siempre
los ltimos Service Pack para la versin
que est utilizando de Outlook. As,
por ejemplo, existen los siguientes Service Pack disponibles:
* Outlook 2000 - Service Pack 3.
* Outlook XP (Outlook 2002) Service Pack 3.
* Outlook 2003 - Service Pack 1.
Entre otras muchas medidas de seguridad que puede adoptar se encuentra la
de extremar las precauciones sobre todos
aquellos anexos de correo que tengan
las extensiones .exe, .com o .vbs. Tenga
siempre a mano un buen antivirus para
analizar los anexos antes de abrirlos.
Rechace los correos que provengan de
fuentes no conocidas y extreme las precauciones cuando, aunque conozca al
emisor del mensaje, le resulte extrao su
contenido. Incluso los archivos .DOC
(documentos) o .XLS (hojas de clculo
Excel) pueden contener macros VBA
que pueden daar su sistema.

10. Mensajera instantnea

Los programas de mensajera instantnea permiten a los usuarios estar en

contacto con sus amigos y familiares de
forma sencilla y barata a travs de Internet. En la actualidad, el empleo de este
tipo de aplicaciones ha dejado de ser un
patrimonio exclusivo del usuario doms192

W W W. P C W O R L D . E S

184-TUTOR VULNE.indd

(YM), AOL Instant Messenger (AIM),

MSN Messenger (MSN) y Windows
Messenger (WM), este ltimo integrado
en diferentes versiones de Windows.
Por desgracia, estos programas

cuentan con vulnerabilidades que

son explotables de forma remota y
que constituyen una amenaza para
la integridad y seguridad de las redes.
Estos ataques pueden ser de diferentes tipos (desbordamientos de
bfer, ataques basados en vnculos
malvolos, vulnerabilidades en las
transferencias de archivo y ataques
basados en ActiveX) y podrn proporcionar el control completo del sistema al atacante.

rio mitigar el peligro de las debilidades

explotables de estos programas utilizando las ltimas versiones e instalando los Service Packs y los parches
ms actualizados, sino que habr que
desarrollar una poltica en la empresa
que defina el uso adecuado y permitido
de este tipo de aplicaciones.
A partir de Windows 98, todas las
versiones del sistema operativo Windows vienen con Microsoft Instant
Messenger y, por tanto, todas ellas
resultarn vulnerables en alguna medida. Todas las versiones anteriores a la
6.2 de Instant Messenger, debern ser
actualizadas inmediatamente.
En definitiva, aunque las vulnerabilidades detectadas y los ataques ejecutados sobre las plataformas Windows
parezcan infinitos, en realidad la mayor
parte podran ser evitados prestando
ms atencin a los diez puntos que acabamos de sealar y, una vez ms, estos
diez se podran resumir en slo dos:
actualiza tu sistema operativo y aplicaciones con el ltimo Service Pack que
est disponible e instala todos los parches y actualizaciones que hayan aparecido posteriormente. PCW
Jorge E. Rodrguez Vega es responsable de Calidad y Seguridad del Centro de
Evaluacin de la Seguridad de las Tecnologas de la Informacin. Instituto Nacional de Tcnica Aerospacial (INTA)

DICIEMBRE 2004

192

17/11/2004, 11:42