Nuevas protecciones para malware en Autocad

octubre 21, 2013 § Deja un comentario

Hace poco más de un año publicamos nuestra investigación sobre Operación Medre, un gusano informático que se propagaba a través de archivos del software de Autodesk, Autocad. A la vez, robaba archivos de AutoCAD que eran enviados a cuentas de correo en servidores chinos, con la particularidad de que nuestras estadísticas indicaban un posible ataque dirigido de espionaje industrial, por su alta concentración de detecciones en Perú. Dicho trabajo fue presentado como “last-minute presentation” en Virus Bulletin 2012, en Dallas. Hoy, un año después de aquella presentación, Autodesk (en conjunto con Microsoft) presentaron la semana pasada en la edición 2013 de Virus Bulletin, las nuevas funcionalidades en Autocad para prevenir el malware.

En su paper mencionan las principales amenazas existentes para Autocad (de hecho, citan la investigación que realizamos el año pasado, probablemente de los códigos maliciosos más relevantes en su especie). ¿Una coincidencia que esta presentación llegue un año después de la de Medre? No lo sabemos, pero vale la pena analizarlos en conjunto y ver si gusanos como ACAD/Medre podrán seguir ejecutándose en las nuevas versiones de los productos de Autodesk. Las mejoras presentadas por la empresa estuvieron distribuidas en dos etapas. En primer lugar, con el Service Pack 1 de Autocad 2013, donde se incluyeron importantes mejoras tendientes a evitar la propagación o ejecución de malware; y posteriormente con mejoras ya incluidas de base en la versión de Autocad 2014.

¿Cuáles son estas mejoras? Las más importantes tienen que ver con la forma en que el software trata los archivos de ejecución de código como .fas o .lsp, que son justamente los que suelen utilizar prácticamente todos los códigos maliciosos para estas plataformas. Es así que en la versión 2013 SP1, se incluyen nuevas variables de sistema que permiten bloquear la ejecución de estos archivos o seleccionar carpetas de confianza para la ejecución de las mismas. De esta forma, si el usuario aprovecha estas funcionalidades, podría definir como carpeta de confianza los archivos con estas extensiones que hayan sido desarrollados por uno mismo pero denegar todo el resto, es decir, archivos que podríamos recibir de terceros y que bien podrían ser, como en el caso de Medre, códigos maliciosos. Dichas variables (AUTOLOADPATH y AUTOLOAD) permiten configurar la seguridad para evitar estas amenazas. Asimismo, es posible cargar desde la línea de comandos la aplicación utilizando el parámetro “/nolisp”, que básicaente pone la variable LISPENABLED en cero y así se puede ejecutar Autocad, digamos, “en modo seguro”, de forma tal que si el sistema está infectado no se ejecuten las acciones maliciosas al iniciar la aplicación.

Contenido completo en fuente original ESET Latinoamérica

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Nuevas protecciones para malware en Autocad en Seguridad Informática.

Meta

A %d blogueros les gusta esto: