Privilegios de usuarios y el malware
Los permisos administrativos de los equipos de los usuarios son una característica que potencialmente puede ser explotada por el malware. En el siguiente artículo se explican los diferentes vectores de ataque utilizados para aprovechar esta propiedad.Uno de los errores más frecuentes en la protección de la información, que es aprovechado con frecuencia por el malware, es la utilización de usuarios con permisos administrativos. Específicamente el sistema operativo Microsoft Windows XP, el sistema operativo más utilizado de la actualidad, posee la particularidad (al igual que sus predecesores) de instalar por defecto una primer cuenta de usuarios con privilegios irrestrictos.
¿Cuál es el impacto de esta característica en la propagación de malware? Básicamente que cualquier proceso que sea ejecutado con este tipo de usuarios tendrá la posibilidad de realizar la acción que desee en el sistema, lo cual puede causar serios problemas en los equipos afectados. Es decir, el impacto de utilizar un sistema con permisos administrativos puede ser muy alto en lo que respecta a la seguridad del equipo, dados los beneficios que se le brindan a los programas dañinos.
Sin embargo, a partir de Windows Vista el propio Microsoft ha incorporado UAC (User Access Control, en español, Control de Acceso a Usuarios), una funcionalidad que toma los mismos conceptos ya existentes en otros sistemas operativos como Linux (y otros sistemas UNIX) y Mac OS X: el control de ejecución de tareas administrativas. Desde Vista, y continuando en la última versión, Windows 7, ya no es ilimitado el campo de acción del usuario respecto a los archivos del sistema, sino que el mismo es alertado cuando desea realizar ciertas tareas administrativas, tal como lo muestra la siguiente imagen:
De esta forma, muchos códigos maliciosos que aprovechan las características antes mencionadas de Windows XP, se verán impedidos de ser ejecutados en entornos más modernos. Sin embargo, todavía existen ciertos vectores de ataque que podrían ser aprovechados por los atacantes para poder enfrentar esta barrera de seguridad, y serán descritos a continuación.
Educación del usuario
A diferencia de otros sistemas operativos, la incorporación en sistemas Microsoft Windows del Control de Acceso a Usuario está realizada en formato de configuración. Esto quiere decir que el mismo puede ser deshabilitado desde el Panel de Control.
Conforme los usuarios desconozcan la importancia de tener habilitado el UAC, que suele ser entendido como una molestia para el usuario en desmedro de la usabilidad del sistema; seguirán existiendo aquellos que deshabilitan el control de permisos de usuario para poder continuar utilizando el sistema “sin molestias”. Por lo tanto, la educación y concientización de los usuarios se reafirma como pilar fundamental de la seguridad de los sistemas. Usuarios educados tomarán las decisiones correctas para la seguridad de sus equipos, que en este caso radica en aprovechar las configuraciones de seguridad que ofrece el sistema operativo.
Ingeniería Social
Una de las técnicas más utilizadas en la propagación de códigos maliciosos es la Ingeniería Social. A través del engaño a los usuarios, los atacantes logran que los mismos acepten la ejecución de archivos que simulan ser inofensivos pero que en realidad son dañinos. Particularmente los troyanos y amenazas del tipo rogue son las que más explotan esta variable.
En estos casos, si el usuario ha caído en la trampa, la existencia del control de acceso a usuarios no podrá colaborar ya que es la propia víctima quién desea ejecutar la aplicación.
La utilización de una herramienta antivirus con capacidades de detección proactiva, como ESET NOD32 Antivirus, y la educación en seguridad informática como prevención, permitirán al usuario no caer en la trampa y estar protegido en caso que ello ocurra.
Explotación de vulnerabilidades
Ciertas vulnerabilidades en un sistema operativo permiten la ejecución de código remoto con permisos elevados. Éstas suelen aparecer con frecuencia y son aprovechadas comúnmente por gusanos informáticos que utilizan dicho medio para propagarse entre todos los sistemas vulnerables.
En el caso que un código malicioso explote una vulnerabilidad, el control de permisos de usuario carece de sentido ya que el mismo podría ejecutarse sin mediar la autorización del usuario.
Como buena práctica de prevención, se debe mantener el sistema operativo actualizado con los últimos parches disponibles y contar con una solución antivirus para prevenir vulnerabilidades no mitigadas, tanto por negligencia del usuario como por ausencia de parche puesto a disposición por el fabricante. En este sentido es fundamental actualizar tanto el sistema operativo como todas las aplicaciones utilizadas a diario.
Conclusión
Como en otros casos, las mejoras de seguridad obligan a los atacantes a utilizar nuevos vectores de ataque, además de mejorar los actuales, para mantener en funcionamiento sus amenazas y de esta manera, poder seguir obteniendo las ganancias económicas acostumbradas.
Al margen de que lamentablemente sigue siendo alto (y mayoritario) el número de personas que utilizan usuarios con permisos administrativos; esta tendencia irá en disminución a medida que se comiencen a utilizar versiones de sistemas operativos más modernas, por lo que los vectores de ataque antes descritos serán cada vez más importantes para los atacantes, en su búsqueda de mantener la efectividad de los diversos códigos maliciosos a propagar en el futuro.
