Microsoft dio su visto bueno digital a un rootkit que descifraba las comunicaciones encriptadas y las enviaba a servidores controlados por atacantes, dijeron la compañía e investigadores externos.
El error permitió que el malware se instalara en máquinas con Windows sin que los usuarios recibieran una advertencia de seguridad o sin que tuvieran que tomar medidas adicionales. Durante los últimos 13 años, Microsoft ha requerido que los controladores de terceros y otros códigos que se ejecutan en el kernel de Windows sean probados y firmados digitalmente por el fabricante del sistema operativo para garantizar la estabilidad y la seguridad. Sin un certificado de Microsoft, este tipo de programas no se pueden instalar de forma predeterminada.
Espionaje en conexiones SSL
A principios de este mes, Karsten Hahn, investigador de la empresa de seguridad G Data, descubrió que el sistema de detección de malware de su empresa marcó un controlador llamado Netfilter. Inicialmente pensó que la detección era un falso positivo porque Microsoft había firmado digitalmente Netfilter bajo el Programa de compatibilidad de hardware de Windows de la compañía.
Después de más pruebas, Hahn determinó que la detección no era un falso positivo. Él y otros investigadores decidieron averiguar con precisión qué hace el malware.
«La funcionalidad principal parece estar escuchando a escondidas las conexiones SSL», el ingeniero inverso Johann Aydinbas escribió en Twitter. “Además del componente de redireccionamiento de IP, también instala (y protege) un certificado raíz en el registro”.
Pasó más tiempo analizando el controlador de netfilter chino descubierto por @struppigel:
La funcionalidad central parece estar escuchando a escondidas las conexiones SSL. Además del componente de redireccionamiento de IP, también instala (y protege) un certificado raíz en el registro.
— Johann Aydinbas (@jaydinbas) 19 de junio de 2023
Un rootkit es un tipo de malware que está escrito de una manera que evita que se vea en directorios de archivos, monitores de tareas y otras funciones estándar del sistema operativo. Se utiliza un certificado raíz para autenticar el tráfico enviado a través de conexiones protegidas por el protocolo de seguridad de la capa de transporte, que cifra los datos en tránsito y garantiza que el servidor al que está conectado un usuario es genuino y no un impostor. Normalmente, los certificados TLS son emitidos por una autoridad de certificación (o CA) de confianza de Windows. Al instalar un certificado raíz en el propio Windows, los piratas informáticos pueden eludir el requisito de CA.
La firma digital de Microsoft, junto con el certificado raíz que instaló el malware, le dio sigilo y la capacidad de enviar tráfico TLS descifrado a hxxp://110.42.4.180:2081/s.
Lapso de seguridad grave
En una breve publicación del viernes, Microsoft escribió: “Microsoft está investigando a un actor malicioso que distribuye controladores maliciosos dentro de los entornos de juego. El actor envió controladores para la certificación a través del Programa de compatibilidad de hardware de Windows. Los controladores fueron construidos por un tercero. Suspendimos la cuenta y revisamos sus envíos en busca de signos adicionales de malware”.
La publicación decía que Microsoft no ha encontrado evidencia de que su certificado de firma para el Programa de compatibilidad de hardware de Windows o su infraestructura de firma WHCP se hayan visto comprometidas. Desde entonces, la compañía agregó detecciones de Netfilter al motor AV de Windows Defender integrado en Windows y proporcionó las detecciones a otros proveedores de AV. La empresa también suspendió la cuenta que envió Netfilter y revisó envíos anteriores en busca de señales de malware adicional.
Microsoft agregó:
La actividad del actor se limita al sector del juego, concretamente en China, y no parece apuntar a entornos empresariales. No estamos atribuyéndole esto a un actor del estado-nación en este momento. El objetivo del actor es usar el controlador para falsificar su ubicación geográfica para engañar al sistema y jugar desde cualquier lugar. El malware les permite obtener una ventaja en los juegos y posiblemente explotar a otros jugadores al comprometer sus cuentas a través de herramientas comunes como registradores de teclas.
Es importante entender que las técnicas utilizadas en este ataque ocurren post-explotaciónlo que significa que un atacante ya debe haber obtenido privilegios administrativos para poder ejecutar el instalador para actualizar el registro e instalar el controlador malicioso la próxima vez que se inicie el sistema o convencer al usuario de que lo haga en su nombre.
A pesar de las limitaciones que señaló la publicación, el lapso es grave. El programa de certificación de Microsoft está diseñado para bloquear precisamente el tipo de ataque que G Data descubrió por primera vez. Microsoft aún tiene que decir cómo llegó a firmar digitalmente el malware. Los representantes de la compañía se negaron a dar una explicación.
