La virtualización de equipos de escritorio y servidores es un fenómeno creciente en el entorno corporativo, que ha traído muchos beneficios a las empresas que la utilizan, particularmente del tipo económico.
http://www.bsecure.com.mx/featured/un-abc-contra-las-amenazas-en-ambientes-virtualizados/
Por Fabio Assolini. Sigue a Fabio en Twitter en:@assolini
La virtualización de equipos de escritorio y servidores es un fenómeno creciente en el entorno corporativo, que ha traído muchos beneficios a las empresas que la utilizan, particularmente del tipo económico. Con la inminente crisis ambiental global y la creciente necesidad de reducir el desperdicio de recursos (incluso electricidad), no hay nada más natural que el surgimiento de alternativas para optimizar el uso de la infraestructuras IT.
La Virtual Desktop Infrastructure (VDI, por sus siglas en inglés) permite alojar máquinas virtuales en una estructura cliente-servidor. La virtualización permite la reducción de costos, el mantenimiento de la velocidad, la estabilidad y administración centralizada.
Pero, ¿Un entorno virtualizado necesita protección, así como un desktop común? y ¿Cuáles son los riesgos y amenazas que pueden afectar a este tipo de ambientes? Éstas son algunas de preguntas que comúnmente se hacen los gerentes y administradores, y es el tema que veremos en el artículo de este mes.
El malware nuestro pan de cada día
Las compañías de antivirus están en una verdadera batalla diaria contra troyanos, backdoors, rootkits y file infectors; malware que en general está listo para atacar e infectar los sistemas informáticos de todo el mundo.
Hay alrededor de 125,000 nuevos ejemplares de malware para ser procesados por las compañías antivirus todos los días. Además, hay ataques realizados a través del Web, ya que sabemos que cada vez es más común encontrar sitios legítimos que han sido atacados y están siendo utilizados para propagar códigos maliciosos.
Kaspersky, por ejemplo, bloquea alrededor de 350,000 ataques Web que utilizan exploits todos los días. Estas cifras muestran el reto de las empresas de seguridad IT tiene para poder brindar protección a sus clientes —incluyendo clientes virtualizados—
Este desafío es compartido de igual manera entre los gerentes y administradores de IT, que también necesitan mantener sus sistemas protegidos frente a esta avalancha de ataques de malware y otras amenazas comunes.
Amenazas virtuales
Sabemos que un sencillo código malicioso puede infectar un sistema virtual en la misma forma que lo hace con un desktop común, sin distinción. Hay programas maliciosos especializados en penetrar la infraestructura de red de una empresa e infectar diferentes ambientes, ya sean virtualizados o no.
De acuerdo con el Guide to Security for Full Virtualization Technologies del Institute for Standards & Technology (NIST) en los Estados Unidos, cuando “una sola máquina virtual es infectada, esto afecta la infraestructura virtual por completo”.
Una infección en una máquina virtual tiene la capacidad de infectar los datos almacenados, los archivos de sistema, que luego son compartidos por otras máquinas virtuales, la difusión de la infección y otros sistemas, algunas veces toda la infraestructura virtualizada puede estar comprometida.
Esta máquina virtual infectada puede ser utilizada como un vector de distribución del ataque o como un “espía” en la red, que escucha el tráfico entre otras máquinas virtuales.
Sabemos históricamente que algunos códigos maliciosos tienen una función llamada “antivirtualización”, que impide que él se instale o ejecute en sistemas virtualizados, y por lo tanto obstaculiza el trabajo de las compañías de seguridad IT, que también hacen uso de la virtualización para procesar los miles de virus que recogen cada día. Pero también sabemos que los creadores de malware actualmente preparan ataques que infectan a las máquinas reales y virtuales.
Incluso existen códigos maliciosos especializados para sobrevivir a un “formateo o borrado” del entorno virtual, lo que les permite regresar al sistema cuando la máquina virtual se reconstruye. A esto le llamamos el VME (Virtual Machine Escape).
Virtual Machine Escape
En la seguridad de la información, el VME es el proceso en el que hay una “ruptura” de aislamiento entre el sistema virtualizado y su host físico, lo que permite, por ejemplo, que una infección presente en la máquina virtual pueda “escapar” y llegar al host físico.
El VME puede ocurrir en dos escenarios diferentes. El primero es la explotación de los fallos de seguridad en el software o hardware utilizados para la virtualización, el segundo se provoca por el uso indiscriminado de unidades compartidas, lo que permite a una infección copiarse a sí misma fuera del entorno virtual y por lo tanto difundirse en la red.
El primer escenario es el menos común, precisamente porque los fabricantes de soluciones de virtualización (como VMWare) se apresuran a reparar los defectos que permiten estos ataques. Pero no podemos negar que existen tales fallas. Recientemente investigadores de la empresa de seguridad francesa VUPEN publicaron una falla en esta categoría, que afecta a las máquinas virtuales Xen, con el Citrix XenServer. El fallo permite a un atacante con acceso de root acceder a la máquina virtual y en el host físico es capaz de ejecutar un código arbitrario y tener acceso a otras máquinas virtuales en el hardware.
Así que para evitar esta situación, simplemente se necesita que las empresas tengan una política de actualización. Una aplicación de todos los parches disponibles de los fabricantes de soluciones de virtualización, reduciendo así drásticamente las posibilidades de ataque.
Pero el segundo escenario es el más común y ocurre en una mala configuración del entorno virtual, pues permite que las unidades compartidas entre diferentes máquinas se utilicen como un vector para distribuir un código malicioso.
Ahí es donde entran en acción los worms de capa de red (como Conficker) y file infectors (como el Sality), que como sabemos, son abundantes y frecuentes en entornos corporativos de América Latina.
Worms y file infectors
Worm es un código malicioso capaz de replicarse en una red y así infectar las máquinas conectadas. Generalmente explotan fallos y la configuración de lectura y escritura en la red; exploran también algunas fallas del sistema operativo para propagarse. El mejor ejemplo de un worm moderno que ha infectado a más de 15 millones de ordenadores en todo el mundo es Conficker, también conocido como Kido.
Mientras que los File infectors son plagas que infectan archivos legítimos, añadiendo algunos bytes para “marcar” el archivo como infectado. Algunas variantes son bastante agresivas, cambiando ejecutables legítimos del sistema operativo o infectando otros ficheros del usuario como hojas de cálculo, textos, etcétera. Estas modificaciones impiden la limpieza de los archivos y con frecuencia destruyen el sistema operativo.
Es muy común encontrar file infectors como el Sality, que tienen características diferentes, tales como infectar unidades compartidas mediante su difusión a través del aplicación de Autorun, o preparar al sistema infectado para que actúe como una máquina zombi, controlado por bots. Sality tiene una facilidad enorme para entrar en una red local, simplemente hace falta infectar una máquina (real o virtual) para que la infección se propague rápidamente por todo el ambiente.
Worms y File Infectors son hoy las amenazas más comunes en las empresas y pueden infectar fácilmente sistemas virtualizados. No es ninguna sorpresa verlos en el Top de la detección de plagas durante el primer semestre de 2012 en los principales países de América Latina como México:
Y Brasil:
Estos países ven como una sorpresa el hecho de que Conficker, un gusano de red que alcanzó su punto máximo en 2009, los pueda infectar. Sin embargo la estadística muestra todo lo contrario, pues después de tres años el malware sigue en el Top de detección en los medios corporativos.
Esta es una clara muestra de que muchas empresas no están aplicando correctamente los parches de seguridad, ya que la plaga explora las fallas por fuerza bruta en las máquinas, comprometiendo las cuentas de usuarios y administradores. Lo mismo se aplica a la Sality, que explora varios fallos y permisos configurados incorrectamente en la red.
Morkut, AKACrisis
Recientemente una empresa de anti-virus estadounidense anunció el descubrimiento de una nueva plaga creada específicamente para infectar las máquinas virtuales, de una forma nunca antes vista.
El gusano, llamado “Crisis”, después de infectar el huésped cuenta con un módulo en que, entre otras cosas, hace la búsqueda de archivos de las máquinas virtuales de VMware. Si los encuentra, recompila la máquina virtual, copiándose dentro del archivo de la VM, utilizando el VMWare Player, haciendo la reconstrucción de la imagen de la máquina virtual.
Para nuestra sorpresa, para comprobar el alcance de la infección vemos que México, junto con Italia, son los países más atacados por Morkut. Existen casos también en Brasil:
El reto de la protección virtual
Asegurar entornos virtualizados es un reto para los administradores de IT. Es necesario crear un equilibrio entre rendimiento y protección de datos.
Algunas protecciones actuales también comprometen el rendimiento de las máquinas virtuales. Hay situaciones en las que los administradores de IT prefieren mantener el entorno virtualizado sin protección alguna para dar prioridad a la rentabilidad. Esta actitud es muy arriesgada y no es recomendable bajo ninguna circunstancia.
Los administradores ahora tienen tres opciones: mantener el sistema sin protección (que no es una decisión muy sabia), utilizar una protección basada en agentes (que pueden comprometer el rendimiento de las máquinas) o bien optar por una protección sin agente con el producto antivirus que tiene una gestión centralizada, el reto es buscar al proveedor que mejor se acomode a las necesidades y presupuestos de su organización.
Corresponde a los administradores encontrar soluciones que ofrecen una buena protección sin comprometer el rendimiento del entorno virtualizado, este es el escenario ideal.
Fabio Assolini
Fabio Assolini se unió a Kaspersky Lab como analista de malware en 2009 para centrarse exclusivamente en uno de los mercados más dinámicos y desafiantes de América Latina, Brasil. El trabajo de Fabio consiste en la investigación de virus, ataques web, troyanos bancarios y otras amenazas de malware procedentes de Brasil. Su principal enfoque son los ataques hacia los clientes de los bancos en línea.
Twitter: @Assolini
Correo: Fabio.Assolini@kaspersky.com
