El Computer Emegerncy Response Team (CERT), organismo oficial que investiga las intrusiones informáticas desde hace 15 años con delegaciones en todos los países , advierte de las nuevas tendencias de los virus, gusanos y hackers hacia máquinas Windows mal protegidas, que hacen los ataques mucho más sencillos y efectivos. Los sistemas afectados son especialmente Windows 2000 y Windows XP.

Durante las pasadas semanas, CERT ha contabilizado un importante aumento en el número de casos denunciados en sus oficinas que involucraban sistemas Windows con contraseñas de administrador débiles e incluso inexistentes en SMB (Server Message Block). SMB es el sistema de compartición de ficheros existente en Windows 2000 y XP. Esto ha derivado en la violación de cientos de sistemas que tienen como principal objetivo usuarios de gran ancho de banda que usen estos sistemas operativos.

Los últimos virus que automatizan el proceso de intentar adivinar claves sencillas como W32/Deloder, GT-bot, sdbot, y W32/Slackor son una buena prueba del interés de los hackers en este tipo de sistemas. Los virus mantienen una base de datos con una muestra de las claves más usadas por los administradores de sistemas. Prueban todas ellas hasta acertarla. Una vez adivinada la contraseña, el dominio del ordenador puede llegar a ser absoluto, y comenzar a infectar o lanzar nuevos ataques desde allí.

Microsoft Windows usa el protocolo SMB para compartir recursos de ficheros o impresoras con otros ordenadores. En las versiones más antiguas del sistema operativo (95, 98 y NT) SMB funciona con NetBIOS sobre TCP/IP en los puertos 137 (udp y tcp), 138 (udp) y 139 (tcp). Sin embargo, en las últimas versiones (2000 y XP) es posible que SMB corra tan sólo sobre el puerto 445 (tcp). El hecho de escoger contraseñas débiles o nulas para proteger estos sistemas ha sido un problema de seguridad recurrente durante mucho tiempo tanto para usuarios particulares como para grandes empresas.

Los pasos que siguen los atacantes son los siguientes: Escanean todo el rango de IPs cuyos sistemas tengan el puerto 445 abierto. Explotan mediante fuerza bruta las contraseñas nulas o débiles para acceder a la cuenta de administrador. Abren puertas traseras para acceso remoto y las suelen conectar a sistemas de IRC desde donde esperan nuevos comandos de los atacantes. Finalmente pueden instalar herramientas que sirvan para apoyar ataques de denegación de servicio distribuido.

CERT recomienda deshabilitar o proteger con contraseñas verdaderamente complicadas de acertar los sistemas compartidos, así como mantener un sistema antivirus perfectamente actualizado que sea capaz de detectar programas troyanos. Si el sistema ya ha sido comprometido, la organización ha publicado un documento con los pasos necesarios para recuperarse y denunciarlo.

Reproducido de
www.forzis.com