Fallo en Windows Vista impide que se desactive la autoejecución en la forma descrita por Microsoft
Enviado por admin el 21. Marzo 2008 - 12:27.
La autoejecución (AutoRun) es una característica presente desde Windows 95 -y habilitada por defecto- que permite que se realice automáticamente alguna acción al introducir un dispositivo extraible como un CDROM. Desde Windows XP, existe además AutoPlay, que presenta al usuario un menú de opciones. Microsoft explica que ambas características pueden desactivarse desde el editor de políticas de grupo, o poniendo a cero el valor de AutoRun en el registro y a 0xFF el valor de NoDriveTypeAutoRun.
Sin embargo, un fallo de diseño en todas las versiones de Windows Vista impide que NoDriveTypeAutoRun funcione de la forma descrita, por lo que algunas capacidades de AutoPlay pueden permanecer activas a pesar de que los valores del registro y el editor de políticas de grupo indiquen lo contrario. Como consecuencia, es posible que un atacante logre que el usuario ejecute inadvertidamente código arbitrario a partir de un CD o una unidad USB.
No existe aún solución definitiva en forma de parche, por lo que los usuarios de Windows Vista han de recurrir a contramedidas temporales para deshabilitar eficazmente la autoejecución y prevenir así este tipo de ataque...
Referencias:
Y van...
Se puede aceptar que un sistema salido hace poco tiempo tenga fallos de última hora, pero esto de Vista clama al cielo.
De eso nada....
No por ser nuevo un sistema tiene el "derecho" a fallar, es como si te compras un coche recien salido del mercado y este pudiera calarse en cualquier momento.
Cuando sacan un producto al mercado se supone que está acabado y se ha examinado su perfecto funcionamiento. En informática nos estamos aconstumbrando a otra cosa, a trabajar como beta-testers del fabricanteno solo sin cobrar, sino que además pagando... y ya dentro de un tiempo (año, 2 años) tener un producto final.
A ver si esto sigue siendo valido en Vista
Dado que nunca me he fiado del NoDriveTypeAutoRun (*), en XP uso esta modificacion del registro para anular todos los Autorun.inf :
(Copiar el quote en un editor de texto, guardarlo como NoAutorun.reg y despues ejecutarlo).
Como no tengo un Vista a mano no se si sigue funcionando. ¿Algun voluntario?
Este cambio hace que el Windows trate todos los Autorun.inf como si fuesen antiguos .ini pre-Windows 95. Le estamos diciendo que no haga caso de los datos que contienen, sino que use los datos alternativos de HKEY_LOCAL_MACHINE\SOFTWARE\NoExiste.
Como esta clave no existe, ningun Autorun.inf es capaz de hacer nada (ni bueno ni malo).
Esta solucion es tambien valida para unidades de red mapeadas.
(*) Existe una pega con la solucion NoDriveTypeAutoRun. Si un familiar tuyo habia conectado anteriormente su pendrive en tu PC, el autorun seguira funcionando para esa unidad a pesar de haber aplicado esa modificacion del registro. Este "historico" de unidades se almacena en una clave del registro llamada MountPoints2 y tiene prioridad. Por eso yo uso el metodo de arriba.
--
La primera regla de seguridad es NO trabajar con cuenta de Administrador
a mi no me pasa
a mi no me pasa nada cuando introduzco un cd o un usb, lo tengo deshabilitado y vamos que si quiero ver lo que hay en el cd tengo que ir a equipo y picar dentro.
Aunque si que es cierto que windows vista sigue teniendo que sacar y sacará cientos de parches porque está que se cae y eso que tiene ya más de un añito de vida comercial.
A mi me pasan otras cosas pero esto ya digo que no me pasa.
Un consejo
Antes de decir que no te afecta, revisa los detalles en el advisory del US-CERT.
Por ejemplo, si cliqueas en el icono del dispositivo Vista te puede ejecutar cualquier programa que esté en el autorun.inf, cuando no debería hacerlo, puesto que Microsoft dice que un valor 0xFF desactiva todas las funcionalidades AutoPlay. Pues bien; ejecutar ficheros del autorun es una funcionalidad del AutoPlay que no debería funcionar.
Opinar