• Saltar al contenido
  • Saltar a la barra lateral principal
  • Saltar al pie de página
  • Inicio
  • Auditoría
  • Eventos
  • Formación
  • General
  • Malware
  • Vulnerabilidades
  • Un blog de

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Malware / TheFlame, el sueño de todo creador de malware

TheFlame, el sueño de todo creador de malware

5 junio, 2012 Por Hispasec 10 comentarios

No por su funcionalidad, sino por el salvoconducto con el que viene acompañado: está firmado por Microsoft. Esto es el sueño de todo creador de malware, por la forma en la que actúan las casas antivirus ante esta garantía, es seguro que se trata de parte de la clave del éxito por la que TheFlame ha permanecido oculto durante al menos 5 años.
Microsoft publicó el domingo una actualización de su repositorio de certificados. Revocaba (marcaba como “no confiables“) a tres autoridades de certificación intermedias. La explicación oficial deja algunas lagunas. En algún momento, alguien consiguió manipular un certificado que se usa para licencias de Terminal Server, y firmar código con él. Esto es un grave error por parte de Microsoft. Como explica SecurityByDefault, los certificados tienen unas funciones concretas cuando son creados, y no deben mezclarse.
Microsoft habla también de “older criptography“, lo que lleva inmediatamente a pensar en MD5. Al comprobar que los certificados revocados usan ese tipo de hash, más o menos encaja. Si unimos las dos piezas, tenemos que de alguna manera los atacantes han forzado un certificado destinado a Terminal Server y han conseguido firmar código con él, validando hacia arriba la cadena de certificación por ser “débil” la validación de las autoridades certificadoras intermedias. El hecho de que haya revocado toda una autoridad intermedia, en vez de un simple certificado, indica que el problema podría ir más allá. De hecho, lo inquietante del comunicado de Microsoft es:
“The Flame malware used a cryptographic collision attack in combination with the terminal server licensing service certificates to sign code as if it came from Microsoft. However, code-signing without performing a collision is also possible. This is an avenue for compromise that may be used by additional attackers on customers not originally the focus of the Flame malware. In all cases, Windows Update can only be spoofed with an unauthorized certificate combined with a man-in-the-middle attack.“
O sea, es posible, sin necesidad de colisión, firmar código con este tipo de certificados que vienen de las licencias de Terminal Server. Por eso preventivamente han revocado las entidades a ese nivel.
El certificado
En concreto hablamos de 1d190facf06e133e8754e564c76c17da8f566fbb, el usado para firmar el componente de TheFlame. Ya todo el mundo sabe que fue firmado el 28 de diciembre de 2010. Pero lo curioso es que en realidad caducó el 19 de febrero de 2012. Esto quiere decir que el certificado ya no era válido de por sí, aunque no estuviera revocado. También alimenta la teoría de que el atacante no pudo elegir este dato. Si yo fuese un atacante y crease un certificado “a la carta” no lo haría caducar en febrero de 2012 sino mucho más adelante. Confirma la teoría de la colisión.
El secreto de su éxito
Stuxnet, también estaba firmado,pero con un certificado de una compañía a la que claramente, le habían robado la clave privada de los certificados. El secreto del éxito de TheFlame para pasar desapercibido, es que está firmadono por cualquier compañía, sino por Microsoftque, como dijo Mikko Hypponen de F-Secure, es “el santo Grial” del malware. Esto quiere decir que los antivirus puede que ni se molestaran en analizarlo o que, por muy extraño que resultara su comportamiento, no se arriesgaran a clasificarlo como malware. Al fin y al cabo, Microsoft nunca jamás firmaría malware… ¿verdad? Todo lo firmado por Microsoft está en listas blancas, casi por definición. Cuando un antivirus ha cometido el enorme error de clasificar un software legítimo (firmado o no) de Microsoft como malware, el sistema puede dejar de funcionar (los componentes críticos de Windows suelen estar firmados)… simplemente no arriesgan. Sería un gran varapalo a la imagen de la compañía si se comete un error de este tipo.
Desinformación
Queríamos también destacar que se está informando de una manera incorrecta sobre la actualización de Microsoft. No corrige ninguna vulnerabilidad, y no podría permitir (o en todo caso sería extremadamente improbable) que se usara para crear phishings. La actualización de Microsoft simplemente deja de confiar en ciertas entidades certificadoras intermedias, y está destinado a prevenir la aparición de más malware firmado por Microsoft.
Más información:
Microsoft certification authority signing certificates added to the Untrusted Certificate Store
http://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx
Security Advisory 2718704: Update to Phased Mitigation Strategy
http://blogs.technet.com/b/msrc/archive/2012/06/04/security-advisory-2718704-update-to-phased-mitigation-strategy.aspx
Flame y los certificados digitales
http://www.securitybydefault.com/2012/06/flame-y-los-certificados-digitales.html
Microsoft Update and The Nightmare Scenario
http://www.f-secure.com/weblog/archives/00002377.html
Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Archivado en: Malware Etiquetado como: Microsoft

Interacciones del lector

Comentarios

  1. Anónimo dice

    5 junio, 2012 en 2:52 pm

    muy buen artículo.

    Responder
  2. Anónimo dice

    5 junio, 2012 en 3:43 pm

    Gracias.
    Dos cosas… rectificad el 19 de diciembre.
    Y otra cosa… yo pondría el certificado que caducara esa fecha, porque puedo tener otro nuevo que esté certificado en 2012 y caduque en 2014… ya que si lo han podido hacer con uno, quién no dice que lo puedan hacer con más y esa sea la manera de permanecer tanto tiempo en el anonimato.
    Un saludo.

    Responder
  3. José R. Cristo Almaguer dice

    5 junio, 2012 en 6:45 pm

    En esta oración hay un problema “Ya todo el mundo sabe que fue firmado el 28 de diciembre de 2010. Pero lo curioso es que en realidad caducó el 19 de diciembre de 2012” al final no es 2012 es 2011.

    Responder
  4. ssantos dice

    5 junio, 2012 en 7:29 pm

    En realidad es febrero, en vez de diciembre. Corregido. Gracias.

    Responder
  5. Anónimo dice

    5 junio, 2012 en 8:23 pm

    Supongo que todos los que vienen siguiendo esta noticia no se ven asombrados por esto.
    O sea, quién está detrás de The Flame? El mismo estado que dice temer ataques cibernéticos y que por lo tanto construye gigantescas instalaciones para “defenderse” (http://www.clarin.com/mundo/EEUU-construye-secreto-espionaje-mundo_0_704329613.html)?
    Justo tiene un certificado de Microsoft?
    Y Microsoft da explicaciones poco creibles…
    MMMMMMMMMMM

    Responder
  6. Mercurio dice

    5 junio, 2012 en 9:06 pm

    Gran artículo, muchas gracias.

    Te quería hacer una pregunta en relación a la validación “débil” que comentas.

    Más exactamente, en la frase “se ha conseguido firmar código validando hacia arriba la cadena de certificación por ser “débil” la validación de las autoridades certificadoras intermedias.”

    Estoy intentando buscar los certificados de las CAs intermedias que se ha revocado, y no lo encuentro. Qué tipo de validación tienen para considerarlos como “débil”? Entiendo que tanto CRL como OCSP son métodos válidos. Quizás no tienen ningún método (ni AIA ni CRLDP).

    Responder
  7. Anónimo dice

    5 junio, 2012 en 9:12 pm

    ¿Nadie ha podido llegar a pensar que esto puede ser algo “consentido” por parte de Microsoft (por ejemplo presionado por el gobierno de EEUU) y que les hemos pillado con las manos en la masa… Microsoft dice que la culpa es suya y el año que viene todo el gobierno de EEUU renueva todas las licencias de Microsoft que tengan… ¿fácil, no?

    Responder
  8. Anónimo dice

    6 junio, 2012 en 5:59 am

    Joder, lo último que esperaba de visitantes de un sitio serio como este era que publicaran teorías conspirativas…

    Responder
  9. ssantos dice

    6 junio, 2012 en 8:38 am

    @Mercurio

    Los certificados deben estar en el certmgr.msc de tu Windows. Las autoridades firman hashes, y el tipo de validación que me refiero es que utilizan MD5.

    Responder
  10. Anónimo dice

    6 junio, 2012 en 2:49 pm

    Teorías conspirativas?
    Primero: el sitio es serio y respetable.
    Segundo: cada uno opina a su parecer. No se puede prohibir ni molestar eso, verdad?
    Tercero: cierto, me olvidé, vivimos en un mundo perfecto, donde todos somos buenos, nadie acumula poder, nadie hace lobby, nadie bombardea países basándose en información mentirosa, etc.

    Responder

Deja un comentario Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral primaria

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

  • E-mail
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Populares de UAD

  • 2,7 millones de grabaciones de pacientes suecos expuestas en un servidor web sin contraseña
  • Vulnerabilidad crítica en Wordpress pasa desapercibida durante más de 6 años
  • Fuga masiva de datos personales en India: 6.7 millones de usuarios afectados.
  • Una nueva familia de malware para MacOs pasa desapercibida al disfrazarse de un ejecutable de Windows
  • Un fallo de seguridad en Facebook permite ver fotos privadas de otros usuarios

Entradas recientes

  • Vulnerabilidad crítica en WordPress pasa desapercibida durante más de 6 años
  • 2,7 millones de grabaciones de pacientes suecos expuestas en un servidor web sin contraseña
  • Fuga masiva de datos personales en India: 6.7 millones de usuarios afectados.
  • Una nueva familia de malware para MacOs pasa desapercibida al disfrazarse de un ejecutable de Windows
  • Nueva campaña de Phishing contra Facebook
  • Un fallo de seguridad en Facebook permite ver fotos privadas de otros usuarios
  • Secuestro de cuenta en Facebook

Footer

Una al Día

Una-al-día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Vulnerabilidad crítica en WordPress pasa desapercibida durante más de 6 años
  • 2,7 millones de grabaciones de pacientes suecos expuestas en un servidor web sin contraseña
  • Fuga masiva de datos personales en India: 6.7 millones de usuarios afectados.
  • Una nueva familia de malware para MacOs pasa desapercibida al disfrazarse de un ejecutable de Windows
  • Nueva campaña de Phishing contra Facebook

Etiquetas

Android Apple D-Link Facebook Filtración Google iOS Koodous linux malware Microsoft Microsoft Edge MongoDB Moodle Mozilla mySQL Nagios Netgear NetWeaver NVIDIA ONTSI OpenOffice OpenSSH OpenSSL Opera Oracle OS X Pharming Phishing Photoshop PHP PostgreSQL Pwn2Own QuickTime ransomware RAT Red Hat safari Squid vulnerabilidad vulnerabilidades vulnerability Windows WordPress XSS

Copyright © 2019 · Hispasec

Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio asumiremos que estás de acuerdo.Vale