13 December, 2012

El ABC contra las amenazas en ambientes virtualizados

Por Fabio Assolini Por Fabio Assolini. Sigue a Fabio en Twitter en: @assolini

La virtualizacin de equipos de escritorio y servidores es un fenmeno creciente en el entorno corporativo, que ha trado muchos beneficios a las empresas que la utilizan, particularmente del tipo econmico. Con la inminente crisis ambiental global y la creciente necesidad de reducir el desperdicio de recursos (incluso electricidad), no hay nada ms natural que el surgimiento de alternativas para optimizar el uso de la infraestructuras IT. La Virtual Desktop Infrastructure (VDI, por sus siglas en ingls) permite alojar mquinas virtuales en una estructura cliente-servidor. La virtualizacin permite la reduccin de costos, el mantenimiento de la velocidad, la estabilidad y administracin centralizada. Pero, Un entorno virtualizado necesita proteccin, as como un desktop comn? y Cules son los riesgos y amenazas que pueden afectar a este tipo de ambientes? stas son algunas de preguntas que comnmente se hacen los gerentes y administradores, y es el tema que veremos en el artculo de este mes. El malware nuestro pan de cada da Las compaas de antivirus estn en una verdadera batalla diaria contra troyanos, backdoors, rootkits y file infectors; malware que en general est listo para atacar e infectar los sistemas informticos de todo el mundo. Hay alrededor de 125,000 nuevos ejemplares de malware para ser procesados por las compaas antivirus todos los das. Adems, hay ataques realizados a travs del Web, ya que sabemos que cada vez es ms comn encontrar sitios legtimos que han sido atacados y estn siendo utilizados para propagar cdigos maliciosos.

Kaspersky, por ejemplo, bloquea alrededor de 350,000 ataques Web que utilizan exploits todos los das. Estas cifras muestran el reto de las empresas de seguridad IT tiene para poder brindar proteccin a sus clientes incluyendo clientes virtualizados Este desafo es compartido de igual manera entre los gerentes y administradores de IT, que tambin necesitan mantener sus sistemas protegidos frente a esta avalancha de ataques de malware y otras amenazas comunes. Amenazas virtuales Sabemos que un sencillo cdigo malicioso puede infectar un sistema virtual en la misma forma que lo hace con un desktop comn, sin distincin. Hay programas maliciosos especializados en penetrar la infraestructura de red de una empresa e infectar diferentes ambientes, ya sean virtualizados o no. De acuerdo con el Guide to Security for Full Virtualization Technologies del Institute for Standards & Technology (NIST) en los Estados Unidos, cuando una sola mquina virtual es infectada, esto afecta la infraestructura virtual por completo. Una infeccin en una mquina virtual tiene la capacidad de infectar los datos almacenados, los archivos de sistema, que luego son compartidos por otras mquinas virtuales, la difusin de la infeccin y otros sistemas, algunas veces toda la infraestructura virtualizada puede estar comprometida. Esta mquina virtual infectada puede ser utilizada como un vector de distribucin del ataque o como un espa en la red, que escucha el trfico entre otras mquinas virtuales. Sabemos histricamente que algunos cdigos maliciosos tienen una funcin llamada antivirtualizacin, que impide que l se instale o ejecute en sistemas virtualizados, y por lo tanto obstaculiza el trabajo de las compaas de seguridad IT, que tambin hacen uso de la virtualizacin para procesar los miles de virus que recogen cada da. Pero tambin sabemos que los creadores de malware actualmente preparan ataques que infectan a las mquinas reales y virtuales. Incluso existen cdigos maliciosos especializados para sobrevivir a un formateo o borrado del entorno virtual, lo que les permite regresar al sistema cuando la mquina virtual se reconstruye. A esto le llamamos el VME (Virtual Machine Escape). Virtual Machine Escape En la seguridad de la informacin, el VME es el proceso en el que hay una ruptura de aislamiento entre el sistema virtualizado y su host fsico, lo que permite, por ejemplo, que una infeccin presente en la mquina virtual pueda escapar y llegar al host fsico. El VME puede ocurrir en dos escenarios diferentes. El primero es la explotacin de los fallos de seguridad en el software o hardware utilizados para la virtualizacin, el segundo se provoca por el uso indiscriminado de unidades compartidas, lo que permite a una infeccin copiarse a s misma fuera del

entorno virtual y por lo tanto difundirse en la red. El primer escenario es el menos comn, precisamente porque los fabricantes de soluciones de virtualizacin (como VMWare) se apresuran a reparar los defectos que permiten estos ataques. Pero no podemos negar que existen tales fallas. Recientemente investigadores de la empresa de seguridad francesa VUPEN publicaron una falla en esta categora, que afecta a las mquinas virtuales Xen, con el Citrix XenServer. El fallo permite a un atacante con acceso de root acceder a la mquina virtual y en el host fsico es capaz de ejecutar un cdigo arbitrario y tener acceso a otras mquinas virtuales en el hardware.

La falla de seguridad en los Citrix Xen Server, publicada por VUPEN As que para evitar esta situacin, simplemente se necesita que las empresas tengan una poltica de actualizacin. Una aplicacin de todos los parches disponibles de los fabricantes de soluciones de virtualizacin, reduciendo as drsticamente las posibilidades de ataque. Pero el segundo escenario es el ms comn y ocurre en una mala configuracin del entorno virtual, pues permite que las unidades compartidas entre diferentes mquinas se utilicen como un vector para distribuir un cdigo malicioso. Ah es donde entran en accin los worms de capa de red (como Conficker) y file infectors (como el Sality), que como sabemos, son abundantes y frecuentes en entornos corporativos de Amrica Latina. Worms y file infectors Worm es un cdigo malicioso capaz de replicarse en una red y as infectar las mquinas conectadas. Generalmente explotan fallos y la configuracin de lectura y escritura en la red; exploran tambin algunas fallas del sistema operativo para propagarse. El mejor ejemplo de un worm moderno que ha infectado a ms de 15 millones de ordenadores en todo el mundo es Conficker, tambin conocido como Kido. Mientras que los File infectors son plagas que infectan archivos legtimos, aadiendo algunos bytes para marcar el archivo como infectado. Algunas variantes son bastante agresivas, cambiando ejecutables legtimos del sistema operativo o infectando otros ficheros del usuario como hojas de clculo, textos, etctera. Estas modificaciones impiden la limpieza de los archivos y con frecuencia destruyen el sistema operativo. Es muy comn encontrar file infectors como el Sality, que tienen caractersticas diferentes, tales como infectar unidades compartidas mediante su difusin a travs del aplicacin de Autorun, o preparar al sistema infectado para que acte como una mquina zombi, controlado por bots. Sality tiene una facilidad enorme para entrar en una red local, simplemente hace falta infectar una mquina (real o

virtual) para que la infeccin se propague rpidamente por todo el ambiente. Worms y File Infectors son hoy las amenazas ms comunes en las empresas y pueden infectar fcilmente sistemas virtualizados. No es ninguna sorpresa verlos en el Top de la deteccin de plagas durante el primer semestre de 2012 en los principales pases de Amrica Latina como Mxico:

Y Brasil:

Estos pases ven como una sorpresa el hecho de que Conficker, un gusano de red que alcanz su punto mximo en 2009, los pueda infectar. Sin embargo la estadstica muestra todo lo contrario, pues despus de tres aos el malware sigue en el Top de deteccin en los medios corporativos. Esta es una clara muestra de que muchas empresas no estn aplicando correctamente los parches de seguridad, ya que la plaga explora las fallas por fuerza bruta en las mquinas, comprometiendo las cuentas de usuarios y administradores. Lo mismo se aplica a la Sality, que explora varios fallos y permisos configurados incorrectamente en la red. Morkut, AKACrisis Recientemente una empresa de anti-virus estadounidense anunci el descubrimiento de una nueva plaga creada especficamente para infectar las mquinas virtuales, de una forma nunca antes vista. El gusano, llamado Crisis, despus de infectar el husped cuenta con un mdulo en que, entre otras cosas, hace la bsqueda de archivos de las mquinas virtuales de VMware. Si los encuentra, recompila la mquina virtual, copindose dentro del archivo de la VM, utilizando el VMWare Player, haciendo la reconstruccin de la imagen de la mquina virtual.

Morkut: infeccin de la mquina virtual Para nuestra sorpresa, para comprobar el alcance de la infeccin vemos que Mxico, junto con Italia, son los pases ms atacados por Morkut. Existen casos tambin en Brasil:

Morkut: distribucin de la infeccin en todo el mundo El reto de la proteccin virtual Asegurar entornos virtualizados es un reto para los administradores de IT. Es necesario crear un equilibrio entre rendimiento y proteccin de datos. Algunas protecciones actuales tambin comprometen el rendimiento de las mquinas virtuales. Hay situaciones en las que los administradores de IT prefieren mantener el entorno virtualizado sin proteccin alguna para dar prioridad a la rentabilidad. Esta actitud es muy arriesgada y no es recomendable bajo ninguna circunstancia. Los administradores ahora tienen tres opciones: mantener el sistema sin proteccin (que no es una decisin muy sabia), utilizar una proteccin basada en agentes (que pueden comprometer el rendimiento de las mquinas) o bien optar por una proteccin sin agente con el producto antivirus que tiene una gestin centralizada, el reto es buscar al proveedor que mejor se acomode a las necesidades y presupuestos de su organizacin. Corresponde a los administradores encontrar soluciones que ofrecen una buena proteccin sin comprometer el rendimiento del entorno virtualizado, este es el escenario ideal. Fabio Assolini Fabio Assolini se uni a Kaspersky Lab como analista de malware en 2009 para centrarse exclusivamente en uno de los mercados ms dinmicos y desafiantes de Amrica Latina, Brasil. El trabajo de Fabio consiste en la investigacin de virus, ataques web, troyanos bancarios y otras amenazas de malware procedentes de Brasil. Su principal enfoque son los ataques hacia los clientes de los bancos en lnea. Twitter: @Assolini Correo: Fabio.Assolini@kaspersky.com