Microsoft firma digitalmente controladores de rootkit maliciosos


Fotografía de archivo de una alerta de virus en la pantalla de un portátil.

Microsoft dio su imprimatur digital a un rootkit que descifraba las comunicaciones cifradas y las enviaba a servidores controlados por los atacantes, dijeron la compañía e investigadores externos.

El error permitió que el malware se instalara en máquinas con Windows sin que los usuarios recibieran una advertencia de seguridad o tomaran medidas adicionales. Durante los últimos 13 años, Microsoft ha requerido que los controladores de terceros y otros códigos de terceros que se ejecutan en el kernel de Windows sean probados y firmados digitalmente por el fabricante del sistema operativo para garantizar la estabilidad y la seguridad. Sin un certificado de Microsoft, este tipo de programas no se pueden instalar de forma predeterminada.

Escuchas clandestinas en conexiones SSL

A principios de este mes, Karsten Hahn, investigador de la empresa de seguridad G Data, descubrió que el sistema de detección de malware de su empresa estaba marcando un controlador llamado Netfilter. Inicialmente pensó que la detección era incorrecta porque Microsoft había firmado digitalmente Netfilter como parte del Programa de compatibilidad de hardware de Windows de la compañía.

Después de más pruebas, Hahn descubrió que la evidencia no era un falso positivo. Él y otros investigadores decidieron averiguar exactamente qué estaba haciendo el malware.

«La funcionalidad principal parece estar escuchando a escondidas las conexiones SSL», dijo el ingeniero inverso Johann Aydinbas. escribió en Twitter. «Además del componente redirector de IP, también instala (y protege) un certificado raíz en el registro».

Un rootkit es un tipo de malware que está escrito para que no aparezca en directorios, monitores de tareas y otras funciones estándar del sistema operativo. Un certificado raíz se utiliza para autenticar el tráfico enviado a través de conexiones protegidas por el protocolo de seguridad de la capa de transporte, que cifra los datos en tránsito y garantiza que el servidor al que está conectado un usuario sea real y no un tramposo. Normalmente, los certificados TLS los emite una autoridad de certificación de confianza de Windows (o CA). Al instalar un certificado raíz en el propio Windows, los piratas informáticos pueden eludir el requisito de CA.

La firma digital de Microsoft y el certificado raíz instalado por el malware le dieron al malware un camuflaje y la capacidad de enviar tráfico TLS descifrado a hxxp: //110.42.4.180: 2081 / s.

Grave vulnerabilidad

En una breve publicación del viernes, Microsoft escribió: “Microsoft está investigando a un actor malintencionado que distribuye controladores malintencionados en entornos de juego. El actor ha enviado controladores para la certificación del Programa de compatibilidad de hardware de Windows. Los controladores fueron construidos por un tercero. Hemos suspendido la cuenta y revisamos sus envíos en busca de signos adicionales de software malicioso «.

La publicación afirma que Microsoft no ha encontrado evidencia de que ni su certificado de firma del Programa de compatibilidad de hardware de Windows ni su infraestructura de firma WHCP se hayan visto comprometidos. Desde entonces, la compañía ha agregado detecciones de Netfilter al motor AV de Windows Defender integrado en Windows y ha puesto las detecciones a disposición de otros proveedores de AV. La compañía también suspendió la cuenta que envió Netfilter y verificó las presentaciones anteriores en busca de signos de malware adicional.

Microsoft agregó:

La actividad del actor se limita al sector del juego, particularmente en China, y no parece apuntar a entornos corporativos. Actualmente no atribuimos esto a ningún actor del estado-nación. El objetivo del actor es utilizar al conductor para simular su ubicación geográfica, engañar al sistema y jugar desde cualquier lugar. El malware les permite obtener una ventaja en los juegos y potencialmente aprovecharse de otros jugadores comprometiendo sus cuentas a través de herramientas comunes como keyloggers.

Es importante comprender que las técnicas utilizadas en este ataque están ocurriendo. Post-explotaciónes decir, un atacante ya debe tener privilegios administrativos para ejecutar el instalador para actualizar el registro e instalar el controlador malicioso la próxima vez que se inicie el sistema, o engañar al usuario para que lo haga en su nombre.

A pesar de las advertencias señaladas en la publicación, el error es fatal. El programa de certificación de Microsoft está diseñado para bloquear exactamente el tipo de ataque que G Data descubrió por primera vez. Microsoft aún tiene que decir cómo llegó a firmar digitalmente el malware. Los representantes de la empresa se negaron a comentar.



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *