• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / TheFlame, el sueño de todo creador de malware

TheFlame, el sueño de todo creador de malware

5 junio, 2012 Por Hispasec 10 comentarios

No por su funcionalidad, sino por el salvoconducto con el que viene acompañado: está firmado por Microsoft. Esto es el sueño de todo creador de malware, por la forma en la que actúan las casas antivirus ante esta garantía, es seguro que se trata de parte de la clave del éxito por la que TheFlame ha permanecido oculto durante al menos 5 años.
Microsoft publicó el domingo una actualización de su repositorio de certificados. Revocaba (marcaba como «no confiables«) a tres autoridades de certificación intermedias. La explicación oficial deja algunas lagunas. En algún momento, alguien consiguió manipular un certificado que se usa para licencias de Terminal Server, y firmar código con él. Esto es un grave error por parte de Microsoft. Como explica SecurityByDefault, los certificados tienen unas funciones concretas cuando son creados, y no deben mezclarse.
Microsoft habla también de «older criptography«, lo que lleva inmediatamente a pensar en MD5. Al comprobar que los certificados revocados usan ese tipo de hash, más o menos encaja. Si unimos las dos piezas, tenemos que de alguna manera los atacantes han forzado un certificado destinado a Terminal Server y han conseguido firmar código con él, validando hacia arriba la cadena de certificación por ser «débil» la validación de las autoridades certificadoras intermedias. El hecho de que haya revocado toda una autoridad intermedia, en vez de un simple certificado, indica que el problema podría ir más allá. De hecho, lo inquietante del comunicado de Microsoft es:
«The Flame malware used a cryptographic collision attack in combination with the terminal server licensing service certificates to sign code as if it came from Microsoft. However, code-signing without performing a collision is also possible. This is an avenue for compromise that may be used by additional attackers on customers not originally the focus of the Flame malware. In all cases, Windows Update can only be spoofed with an unauthorized certificate combined with a man-in-the-middle attack.«
O sea, es posible, sin necesidad de colisión, firmar código con este tipo de certificados que vienen de las licencias de Terminal Server. Por eso preventivamente han revocado las entidades a ese nivel.
El certificado
En concreto hablamos de 1d190facf06e133e8754e564c76c17da8f566fbb, el usado para firmar el componente de TheFlame. Ya todo el mundo sabe que fue firmado el 28 de diciembre de 2010. Pero lo curioso es que en realidad caducó el 19 de febrero de 2012. Esto quiere decir que el certificado ya no era válido de por sí, aunque no estuviera revocado. También alimenta la teoría de que el atacante no pudo elegir este dato. Si yo fuese un atacante y crease un certificado «a la carta» no lo haría caducar en febrero de 2012 sino mucho más adelante. Confirma la teoría de la colisión.
El secreto de su éxito
Stuxnet, también estaba firmado,pero con un certificado de una compañía a la que claramente, le habían robado la clave privada de los certificados. El secreto del éxito de TheFlame para pasar desapercibido, es que está firmadono por cualquier compañía, sino por Microsoftque, como dijo Mikko Hypponen de F-Secure, es «el santo Grial» del malware. Esto quiere decir que los antivirus puede que ni se molestaran en analizarlo o que, por muy extraño que resultara su comportamiento, no se arriesgaran a clasificarlo como malware. Al fin y al cabo, Microsoft nunca jamás firmaría malware… ¿verdad? Todo lo firmado por Microsoft está en listas blancas, casi por definición. Cuando un antivirus ha cometido el enorme error de clasificar un software legítimo (firmado o no) de Microsoft como malware, el sistema puede dejar de funcionar (los componentes críticos de Windows suelen estar firmados)… simplemente no arriesgan. Sería un gran varapalo a la imagen de la compañía si se comete un error de este tipo.
Desinformación
Queríamos también destacar que se está informando de una manera incorrecta sobre la actualización de Microsoft. No corrige ninguna vulnerabilidad, y no podría permitir (o en todo caso sería extremadamente improbable) que se usara para crear phishings. La actualización de Microsoft simplemente deja de confiar en ciertas entidades certificadoras intermedias, y está destinado a prevenir la aparición de más malware firmado por Microsoft.
Más información:
Microsoft certification authority signing certificates added to the Untrusted Certificate Store
http://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx
Security Advisory 2718704: Update to Phased Mitigation Strategy
http://blogs.technet.com/b/msrc/archive/2012/06/04/security-advisory-2718704-update-to-phased-mitigation-strategy.aspx
Flame y los certificados digitales
http://www.securitybydefault.com/2012/06/flame-y-los-certificados-digitales.html
Microsoft Update and The Nightmare Scenario
http://www.f-secure.com/weblog/archives/00002377.html
Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware Etiquetado como: Microsoft

Interacciones con los lectores

Comentarios

  1. Anónimo dice

    5 junio, 2012 a las 2:52 pm

    muy buen artículo.

    Responder
  2. Anónimo dice

    5 junio, 2012 a las 3:43 pm

    Gracias.
    Dos cosas… rectificad el 19 de diciembre.
    Y otra cosa… yo pondría el certificado que caducara esa fecha, porque puedo tener otro nuevo que esté certificado en 2012 y caduque en 2014… ya que si lo han podido hacer con uno, quién no dice que lo puedan hacer con más y esa sea la manera de permanecer tanto tiempo en el anonimato.
    Un saludo.

    Responder
  3. José R. Cristo Almaguer dice

    5 junio, 2012 a las 6:45 pm

    En esta oración hay un problema «Ya todo el mundo sabe que fue firmado el 28 de diciembre de 2010. Pero lo curioso es que en realidad caducó el 19 de diciembre de 2012» al final no es 2012 es 2011.

    Responder
  4. ssantos dice

    5 junio, 2012 a las 7:29 pm

    En realidad es febrero, en vez de diciembre. Corregido. Gracias.

    Responder
  5. Anónimo dice

    5 junio, 2012 a las 8:23 pm

    Supongo que todos los que vienen siguiendo esta noticia no se ven asombrados por esto.
    O sea, quién está detrás de The Flame? El mismo estado que dice temer ataques cibernéticos y que por lo tanto construye gigantescas instalaciones para «defenderse» (http://www.clarin.com/mundo/EEUU-construye-secreto-espionaje-mundo_0_704329613.html)?
    Justo tiene un certificado de Microsoft?
    Y Microsoft da explicaciones poco creibles…
    MMMMMMMMMMM

    Responder
  6. Mercurio dice

    5 junio, 2012 a las 9:06 pm

    Gran artículo, muchas gracias.

    Te quería hacer una pregunta en relación a la validación «débil» que comentas.

    Más exactamente, en la frase «se ha conseguido firmar código validando hacia arriba la cadena de certificación por ser «débil» la validación de las autoridades certificadoras intermedias.»

    Estoy intentando buscar los certificados de las CAs intermedias que se ha revocado, y no lo encuentro. Qué tipo de validación tienen para considerarlos como «débil»? Entiendo que tanto CRL como OCSP son métodos válidos. Quizás no tienen ningún método (ni AIA ni CRLDP).

    Responder
  7. Anónimo dice

    5 junio, 2012 a las 9:12 pm

    ¿Nadie ha podido llegar a pensar que esto puede ser algo «consentido» por parte de Microsoft (por ejemplo presionado por el gobierno de EEUU) y que les hemos pillado con las manos en la masa… Microsoft dice que la culpa es suya y el año que viene todo el gobierno de EEUU renueva todas las licencias de Microsoft que tengan… ¿fácil, no?

    Responder
  8. Anónimo dice

    6 junio, 2012 a las 5:59 am

    Joder, lo último que esperaba de visitantes de un sitio serio como este era que publicaran teorías conspirativas…

    Responder
  9. ssantos dice

    6 junio, 2012 a las 8:38 am

    @Mercurio

    Los certificados deben estar en el certmgr.msc de tu Windows. Las autoridades firman hashes, y el tipo de validación que me refiero es que utilizan MD5.

    Responder
  10. Anónimo dice

    6 junio, 2012 a las 2:49 pm

    Teorías conspirativas?
    Primero: el sitio es serio y respetable.
    Segundo: cada uno opina a su parecer. No se puede prohibir ni molestar eso, verdad?
    Tercero: cierto, me olvidé, vivimos en un mundo perfecto, donde todos somos buenos, nadie acumula poder, nadie hace lobby, nadie bombardea países basándose en información mentirosa, etc.

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Evasión de CloudTrail en AWS a través de API no documentada
  • USB Killer, el enchufable que puede freir tu equipo
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Tamagotchi para hackers: Flipper Zero
  • Técnica permite modificar ficheros PDF con firma digital

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR