Formatos de archivo históricamente inofensivos

SeguridadVirus

Históricamente se han considerado archivos potencialmente peligrosos para Microsoft Windows los que poseían las muchas extensiones de aplicaciones ejecutables que existen.

En su código es posible ocultar cualquier acción dañina para el sistema, y puede ser disimulada y pasar desapercibida par el usuario. EXE, VBS, PIF, SRC, VBS, BAT y un largo etcétera, son extensiones de las que hemos aprendido a desconfiar hace tiempo. Desde hace poco, sin embargo, se pueden unir al conjunto de sospechosas muchas otras que se han considerado desde siempre confiables.

De un tiempo a esta parte, se ha popularizado el uso de archivos con extensiones históricamente confiables con la finalidad de difundir código malicioso. El ejemplo más claro y conocido ha ocurrido con la vulnerabilidad de procesamiento de WMF (Windows Meta File) que permitía la ejecución de código arbitrario en el sistema con la simple visualización de una imagen. Este fallo ha permitido la dispersión de virus ocultos bajo aparentemente inofensivas imágenes con formatos JPG o GIF gracias a exploits muy potentes y sofisticados.

El mismo día 1 de enero de 2006 VirusTotal detectaba un fichero que fue enviado de forma masiva por correo electrónico y que simulaba una felicitación para el nuevo año. El archivo adjunto, una imagen en formato JPG, “HappyNewYear.jpg”, comprometía el sistema con tan sólo visualizarla. A partir de ahí, se han recibido en VirusTotal más de diez variantes de malware con extensión JPG que aprovechaban la vulnerabilidad y algunas variantes con extensión GIF. Debido a la popularidad y facilidad para aprovecharse de esta vulnerabilidad, la previsión es que vayan en aumento.

No sólo los usuarios de Microsoft deben preocuparse por estas extensiones. En enero se han encontrado varias vulnerabilidades en Apple QuickTime que pueden se aprovechadas por atacantes para ejecutar código a través de formatos aparentemente inofensivos. Imágenes con formato QTIF, TGA, TIFF y GIF especialmente manipuladas y visualizadas con Apple QuickTime Player versión 7.0.3 y anteriores (para Mac OS X y Windows) permiten la ejecución de código en el sistema de la víctima.

Igualmente este mes, se ha identificado una vulnerabilidad en BlackBerry Enterprise Server (conocido servidor de comunicaciones inalámbricas) que puede ser aprovechada por atacantes remotos para ejecutar código arbitrario a través de un archivo PNG (Portable Network Graphics) especialmente manipulado y enviado como adjunto.

Por si fuese poco, cuando ya creíamos enterrados a los virus de macro que se extendían a través de documentos elaborados con la suite Microsoft Office y este formato se consideraba relativamente seguro, aparece un nuevo fallo de denegación de servicio en Microsoft Excel que se rumorea (aún está por confirmar) que puede llevar a la ejecución de código arbitrario con la simple visualización en Microsoft Office de una hoja de cálculo en este formato.

Estos son sólo algunos ejemplos. Hoy resulta extraño encontrar un servidor de correo que permita el envío de adjuntos en un formato potencialmente peligroso. Las extensiones típicas que se han convertido en vías de propagación de todo tipo de software dañino son filtradas sin piedad por muchos administradores, conocedores de que en la mayoría de los casos están destinadas a que un usuario incauto las ejecute y libere el código maligno en su interior. Aun así la propagación de virus a través de correo con archivo adjunto sigue siendo muy popular, y los creadores de virus inventan todo tipo de triquiñuelas destinadas a saltarse estas barreras de seguridad. Ofuscar la extensión, comprimir los archivos y aprovechar las vulnerabilidades del sistema operativo para ejecutar automáticamente código, son de las más populares. Gracias a estas nuevas vulnerabilidades, tienen una nueva oportunidad para saltarse estas barreras.

Entre otras medidas de seguridad, los administradores de sistemas de correo electrónico deben asegurarse de que sus antivirus controlan y examinan, no sólo los ficheros con extensión sospechosa, sino también los archivos en principio confiables del tipo imagen o documento ofimático. Bloquear estos ficheros resulta inviable pues su intercambio a través de correo es necesario y legítimo en la mayoría de las ocasiones. El problema que se les plantea es que si manejan un volumen importante de archivos de este tipo, controlarlos a través de un exhaustivo escaneo en la pasarela de correo en busca de virus, puede suponer una degradación en el rendimiento del sistema y un retraso en el intercambio de emails.

En cualquier caso la mejor solución, como de costumbre, pasa por la educación de los usuarios finales encargados de recibir estos documentos. Deben conocer los peligros de abrir los ficheros no confiables, tengan la extensión que tengan, que provengan de fuentes desconocidas.

Lea también :