Microsoft dio su imprimatur digital a un rootkit que descifraba las comunicaciones cifradas y las enviaba a servidores controlados por atacantes, dijeron la compañía e investigadores externos.
El error permitió que el malware se instalara en máquinas con Windows sin que los usuarios recibieran una advertencia de seguridad o tuvieran que tomar medidas adicionales. Durante los últimos 13 años, Microsoft ha requerido que los controladores de terceros y otros códigos que se ejecutan en el kernel de Windows sean probados y firmados digitalmente por el fabricante del sistema operativo para garantizar la estabilidad y la seguridad. Sin un certificado de Microsoft, este tipo de programas no se pueden instalar de forma predeterminada.
Escuchas clandestinas en conexiones SSL
A principios de este mes, Karsten Hahn, investigador de la empresa de seguridad G Data, descubrió que el sistema de detección de malware de su empresa marcó un controlador llamado Netfilter. Inicialmente pensó que la detección era un falso positivo porque Microsoft había firmado digitalmente Netfilter bajo el Programa de compatibilidad de hardware de Windows de la compañía.
Después de más pruebas, Hahn determinó que la detección no era un falso positivo. Él y otros investigadores decidieron averiguar con precisión qué hace el malware.
“La funcionalidad principal parece estar escuchando a escondidas las conexiones SSL”, dijo el ingeniero inverso Johann Aydinbas. escribió en Twitter. “Además del componente de redireccionamiento de IP, también instala (y protege) un certificado raíz en el registro”.
Pasó más tiempo analizando el controlador de filtro de red chino descubierto por @struppigel
:La funcionalidad principal parece estar escuchando las conexiones SSL. Además del componente de redireccionamiento de IP, también instala (y protege) un certificado raíz en el registro.
– Johann Aydinbas (@jaydinbas) 19 de junio de 2021
Un rootkit es un tipo de malware que está escrito de manera que evita que se vea en directorios de archivos, monitores de tareas y otras funciones estándar del sistema operativo. Un certificado raíz se utiliza para autenticar el tráfico enviado a través de conexiones protegidas por el protocolo de seguridad de la capa de transporte, que cifra los datos en tránsito y garantiza que el servidor al que está conectado un usuario sea genuino y no un impostor. Normalmente, los certificados TLS los emite una autoridad certificadora de confianza de Windows (o CA). Al instalar un certificado raíz en el propio Windows, los piratas informáticos pueden eludir el requisito de CA.
La firma digital de Microsoft, junto con el certificado raíz que instaló el malware, le dio al malware sigilo y la capacidad de enviar tráfico TLS descifrado a hxxp: //110.42.4.180: 2081 / s.
Grave lapso de seguridad
En un breve correo Desde el viernes, Microsoft escribió: “Microsoft está investigando a un actor malintencionado que distribuye controladores malintencionados en entornos de juego. El actor envió los controladores para su certificación a través del Programa de compatibilidad de hardware de Windows. Los controladores fueron construidos por un tercero. Hemos suspendido la cuenta y revisamos sus envíos en busca de signos adicionales de software malicioso “.
La publicación dijo que Microsoft no ha encontrado evidencia de que su certificado de firma para el Programa de compatibilidad de hardware de Windows o su infraestructura de firma WHCP se haya visto comprometida. Desde entonces, la compañía ha agregado detecciones de Netfilter al motor AV de Windows Defender integrado en Windows y ha proporcionado las detecciones a otros proveedores de AV. La compañía también suspendió la cuenta que envió Netfilter y revisó envíos anteriores en busca de signos de malware adicional.
Microsoft agregó:
La actividad del actor se limita al sector del juego, específicamente en China, y no parece apuntar a entornos empresariales. No atribuimos esto a un actor del estado-nación en este momento. El objetivo del actor es usar el controlador para falsificar su ubicación geográfica para engañar al sistema y jugar desde cualquier lugar. El malware les permite obtener una ventaja en los juegos y posiblemente explotar a otros jugadores comprometiendo sus cuentas a través de herramientas comunes como keyloggers.
Es importante comprender que las técnicas utilizadas en este ataque ocurren post-explotación, lo que significa que un atacante ya debe haber obtenido privilegios administrativos para poder ejecutar el instalador para actualizar el registro e instalar el controlador malicioso la próxima vez que se inicie el sistema o convencer al usuario de que lo haga en su nombre.
A pesar de las limitaciones que señaló la publicación, el lapso es grave. El programa de certificación de Microsoft está diseñado para bloquear precisamente el tipo de ataque que G Data descubrió por primera vez. Microsoft aún tiene que decir cómo llegó a firmar digitalmente el malware. Los representantes de la empresa se negaron a dar una explicación.