elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  La nueva variante del Stuxnet vuelve a estar firmada con un certificado válido
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: La nueva variante del Stuxnet vuelve a estar firmada con un certificado válido  (Leído 1,395 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
La nueva variante del Stuxnet vuelve a estar firmada con un certificado válido
« en: 22 Julio 2010, 20:55 pm »

El último ataque contra Windows (con enlaces directos) fue descubierto a través de un troyano que ha sido bautizado como Stuxnet. Una de sus características era que los drivers que usaba estaban firmados digitalmente por la famosa empresa china Realtek. Ahora, después de que hayan sido revocados, los atacantes han comenzado a utilizar los de otra empresa legítima: JMicron Technology Corporation.

Los drivers de Stuxnet utilizados como rootkit, estaban firmados digitalmente por la famosa empresa china Realtek. Esto significa que, en principio, solo Realtek puede ser responsable de ese código... excepto que su clave privada haya sido comprometida de alguna forma, cosa que no se ha confirmado todavía. En cualquier caso, Microsoft ha trabajado con Verisign para revocar en sus sistemas los certificados (con el apoyo de Realtek también). Parece que ante este "contratiempo" los atacantes han reaccionado firmando su troyano de nuevo con un certificado válido de otra empresa Taiwanesa dedicada también a crear controladores, llamada JMicron.

Según ha notado Pierre-Marc Bureau de ESET, la única relación entre esas dos compañías es que comparten oficinas en Hsinchu Science Park, Taiwan. Esto abre las puertas a todo tipo de suposiciones: un atacante ha podido introducirse físicamente en el edificio y aprovechar algún error gracias a la ingeniería social... o se ha realizado un ataque dirigido a ambas compañías... o simplemente han comprado los certificados robados a un tercero... o quizás ninguna de estas hipótesis y compartir oficinas es solo una coincidencia.

Microsoft, para comprobar la firma de binarios, utiliza Authenticode. Los ficheros pueden estar firmados digitalmente con la clave privada del fabricante o programador (Microsoft los llama "editores" en Windows). De esta forma, gracias a la criptografía asimétrica, podemos saber que el código viene de quien dice venir, y que teóricamente no ha sido alterado por nadie sin su permiso. Windows presenta este tipo de avisos antes de lanzar un ejecutable y sirven como "control de calidad" de drivers. Nos advierten básicamente de que el binario está firmado por el fabricante de turno, y pregunta qué queremos hacer. En el diálogo, nos indica que:

"Aunque los archivos procedentes de Internet pueden llegar a ser útiles, este tipo de archivo puede llegar a dañar el equipo. Solo ejecute software de los editores en los que confía"

Y efectivamente, esa es la situación ideal: ejecutar código solo de quien se confía. Aunque no siempre es cierto, como es el caso, si al editor confiable le han robado el certificado y usurpado la identidad.

¿De cuántos más certificados válidos dispondrán estos atacantes? Un curioso caso que nos da una idea de hasta dónde llega el malware profesional.

Sergio de los Santos
  ssantos@hispasec.com

FUENTE :http://www.hispasec.com/unaaldia/4288


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Draklit


Desconectado Desconectado

Mensajes: 564



Ver Perfil WWW
Re: La nueva variante del Stuxnet vuelve a estar firmada con un certificado válido
« Respuesta #1 en: 22 Julio 2010, 21:21 pm »

El que hizo eso es un crack.


En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Stuxnet puede explotar una nueva vulnerabilidad día cero de Windows
Noticias
wolfbcn 4 3,451 Último mensaje 25 Noviembre 2010, 10:19 am
por Artikbot
EXVagos.es vuelve a estar ONLINE tras su cierre por EEUU
Noticias
wolfbcn 0 9,164 Último mensaje 27 Marzo 2011, 14:02 pm
por wolfbcn
WhatsApp vuelve a estar disponible en la App Store
Noticias
wolfbcn 0 1,730 Último mensaje 18 Enero 2012, 02:26 am
por wolfbcn
Google Wallet vuelve a estar disponible
Noticias
wolfbcn 0 1,609 Último mensaje 15 Febrero 2012, 17:46 pm
por wolfbcn
Nueva variante del malware Bicololo se hace pasar por una aplicación antivirus
Noticias
wolfbcn 0 1,783 Último mensaje 8 Junio 2013, 02:18 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines