Alerta: El gusano Zotob y otras variantes comienzan a causar estragos

SeguridadVirus

Medios como la CNN, ABC y The New York Times se han visto este martes azotados por un gusano que afectaba a sus sistemas Windows 2000.

Tal y como adelantábamos en Hispasec, el mayor peligro de Zotob y otros especímenes que explotan una de las últimas vulnerabilidades de Windows se presenta cuando logran penetrar en redes corporativas.

En los casos reportados en Estados Unidos parece que se trata de un nuevo gusano que, al igual que Zotob, infecta a los sistemas Windows 2000 que no hayan instalado la actualización MS05-039. Como efecto colateral los sistemas infectados se reinician constantemente, lo que impide trabajar con ellos.

Como explicábamos en el primer aviso, Zotob y el resto de especímenes que están apareciendo tienen limitada su capacidad de propagación a través de Internet, ya que lo usual, y al menos así lo recomiendan las medidas más básicas de seguridad, es que el puerto TCP/445 que utiliza el gusano para propagarse no se encuentre accesible de forma indiscriminada desde Internet.

Sin embargo, suele ocurrir lo contrario en las intranets, donde la seguridad suele ser más relajada porque se piensa que el firewall perimetral protege de los ataques de Internet y que el resto de sistemas que comparten la LAN o WAN son confiables. Además de que en ocasiones las propias aplicaciones o servicios corporativos requieren que servidores y/o estaciones tengan accesibles esos puertos.

El problema se presenta cuando dentro de esa red aparece un sistema infectado por un gusano de características similares a Blaster, Sasser o Zotob, capaz de propagarse automáticamente sin necesidad de la intervención del usuario. En cuestión de minutos se extiende entre todos los sistemas vulnerables e impacta en la informática y en todos los procesos que dependan de ella.

Dependiendo del tipo de empresa puede llegar a suponer un colapso global.

¿Cómo entra el gusano a la red interna si el firewall perimetral protege de los ataques de Internet? Pues normalmente entra andando por la puerta principal del edificio, es decir, basta con que alguien conecte en la red local su portátil, previamente infectado en casa o en otra red donde hubiera estado conectado.

Ese es el escenario más típico, aunque no el único, por ejemplo, los casos de teletrabajadores que conectan con el ordenador particular a la red corporativa, etc. Ya ocurrió con gusanos similares, como Blaster o Sasser, que fueron protagonistas de infecciones masivas semanas después de su aparición.

Por ello es importante insistir ahora, a tiempo, para que los sistemas sean actualizados contra la vulnerabilidad y prevenir incidentes similares. De poco o nada sirven los avisos y alertas cuando ya se está sufriendo el daño. Ahora es el momento de prevenir, existe una amenaza y la solución es sencilla, hay que actualizar los sistemas Windows.