Prácticamente todos los scripts malignos que se intentan ejecutar en nuestra máquina, bien por agujeros del IE, o bien por explotación remota por fallos de seguridad de un servicio como el RPC, lo que intentan es ejecutar código con dos programas que siempre existen en nuestra máquina: cmd.exe y net.exe.
Con el cmd.exe (la consola de comandos) es evidente que se puede hacer todo. Es mucho más potente que el entorno gráfico de Windows. Desde una consola de comandos se puede hacer TODO (bueno... y malo).
Recordemos igualmente que un script maligno, nunca puede invocarlo indirectamente: el "path" del sistema no existe normalmente al entrar con atributos de system, o bien aunque entre con los de usuario, no se ejecutan las tareas de logon para esa ejecución. Es decir, a esos scripts malignos no les queda más remedio que invocar directamente al cmd de la forma c:\Windows\system32\cmd.exe, ya que si no, no arrancarían la consola. Es decir.... tienen que ir "dirigidos" al path completo c:\Windows\system32.
Según eso...... la idea es fácil: si tuviésemos Windows instalado en otra letra de disco estaríamos protegidos contra esto ¿no?. Pues efectivamente !!!. Únicamente algún script intenta un par de veces: c:\Windows\system32 y d:\Windows\system32. No prueban con otras letras.... simplemente porque les es costoso y porque la gente no instala Windows en otras letras.
De aquí el primer consejo: no instalar en c:\ (si esto fuese posible).
Si no fuese posible, todavía podemos hacer una cosa: lo primero que se nos ocurre, sería borrar el cmd.exe y el net.exe y llevarlo a alguna otra carpeta. Poner esa carpeta en el path del sistema para que nosotros sí que pudiésemos ejecutarlos, y ya está.
Pues bien, la idea no está mal... pero no funciona. Simplemente porque Windows XP tiene un mecanismo: el WFP (Windows File Protection) que, en cuanto vea que hemos borrado esos archivos de \Windows\system32, los recuperaría instantáneamente.
Pero... para todo hay solución. Veamos: lo primero es correcto: las copiamos a otra carpeta y la ponemos en el path (la primera del path: con botón derecho sobre Mi PC, propiedades, avanzado y variables de entorno modificamos el path del sistema añadiendo dicha carpeta al principio). Y ahora, jugamos un poco con las propiedades del NTFS, es decir con botón derecho en ambos archivos, propiedades, pestaña de seguridad, "negamos" todos los permisos a todos los usuarios incluidos los administradores... a todos los usuarios que allí veamos, les negamos permisos de TODO. Con esto, nadie podrá ejecutar desde allí.
Y ahora como segundo TIP de seguridad, debido a que también muchos scripts se ejecutan desde los temporales de Internet, y estos tienen que ser invocados exactamente igual, es decir por "ruta" completa y exacta... pues sencillo: nos creamos una carpeta nueva, y en las propiedades de Internet (botón derecho sobre el IE, propiedades) cambiamos la localización de los temporales de Internet a dicha carpeta. Los scripts que nos hayan inyectado navegando se volverán locos... y no funcionarán.
Con el cmd.exe (la consola de comandos) es evidente que se puede hacer todo. Es mucho más potente que el entorno gráfico de Windows. Desde una consola de comandos se puede hacer TODO (bueno... y malo).
Recordemos igualmente que un script maligno, nunca puede invocarlo indirectamente: el "path" del sistema no existe normalmente al entrar con atributos de system, o bien aunque entre con los de usuario, no se ejecutan las tareas de logon para esa ejecución. Es decir, a esos scripts malignos no les queda más remedio que invocar directamente al cmd de la forma c:\Windows\system32\cmd.exe, ya que si no, no arrancarían la consola. Es decir.... tienen que ir "dirigidos" al path completo c:\Windows\system32.
Según eso...... la idea es fácil: si tuviésemos Windows instalado en otra letra de disco estaríamos protegidos contra esto ¿no?. Pues efectivamente !!!. Únicamente algún script intenta un par de veces: c:\Windows\system32 y d:\Windows\system32. No prueban con otras letras.... simplemente porque les es costoso y porque la gente no instala Windows en otras letras.
De aquí el primer consejo: no instalar en c:\ (si esto fuese posible).
Si no fuese posible, todavía podemos hacer una cosa: lo primero que se nos ocurre, sería borrar el cmd.exe y el net.exe y llevarlo a alguna otra carpeta. Poner esa carpeta en el path del sistema para que nosotros sí que pudiésemos ejecutarlos, y ya está.
Pues bien, la idea no está mal... pero no funciona. Simplemente porque Windows XP tiene un mecanismo: el WFP (Windows File Protection) que, en cuanto vea que hemos borrado esos archivos de \Windows\system32, los recuperaría instantáneamente.
Pero... para todo hay solución. Veamos: lo primero es correcto: las copiamos a otra carpeta y la ponemos en el path (la primera del path: con botón derecho sobre Mi PC, propiedades, avanzado y variables de entorno modificamos el path del sistema añadiendo dicha carpeta al principio). Y ahora, jugamos un poco con las propiedades del NTFS, es decir con botón derecho en ambos archivos, propiedades, pestaña de seguridad, "negamos" todos los permisos a todos los usuarios incluidos los administradores... a todos los usuarios que allí veamos, les negamos permisos de TODO. Con esto, nadie podrá ejecutar desde allí.
Y ahora como segundo TIP de seguridad, debido a que también muchos scripts se ejecutan desde los temporales de Internet, y estos tienen que ser invocados exactamente igual, es decir por "ruta" completa y exacta... pues sencillo: nos creamos una carpeta nueva, y en las propiedades de Internet (botón derecho sobre el IE, propiedades) cambiamos la localización de los temporales de Internet a dicha carpeta. Los scripts que nos hayan inyectado navegando se volverán locos... y no funcionarán.
0 comentarios:
Publicar un comentario
hola deja tu comentario sebre este articulo