Un fallo detectado a la hora de
procesar determinado tipo de iconos en Windows permitiría simular documentos
benignos para albergar malware y engañar al usuario.
Un reciente estudio de la firma de
seguridad Cybereason ha revelado un fallo a la hora de procesar determinados
formatos de icono que, usado junto a un problema con la caché de iconos de Windows,
permitiría a cualquier PE (Portable Ejectutable) modificar la representación de
su icono de programa para simular un documento benigno o cualquier otro icono
de sistema.
La técnica parece haber sido utilizado
por variantes del ransomware “Cerber” entre otros, y técnicamente se basa en un
fallo de los sistemas Windows a la hora de manejar iconos en formato “True
Monochrome”. En vez de cargar el icono original presente dentro del ejecutable,
el sistema carga un representación totalmente diferente basándose en la caché
de Iconos de Windows, como se puede ver en el vídeo ilustrativo:
El fallo reportado a Microsoft,
estaría presente en la clase 'CImageList' de la librería comctl32.dll afectando
a todas las versiones de Windows desde la 7 hasta la presente Windows 10.
Como medida general de protección,
recordamos activar siempre la opción de mostrar la extensión de fichero en el
explorador de Windows.
Más información:
- A zebra in
sheep’s clothing: How a Microsoft icon-display bug in Windows allows
attackers to masquerade PE files with special icons https://www.cybereason.com/labs-a-zebra-in-sheeps-clothing-how-a-microsoft-icon-display-bug-in-windows-allows-attackers-to-masquerade-pe-files-with-special-icons/
- Cybereason
discovers Windows icon display bug allowing attackers to masquerade files https://www.youtube.com/watch?v=cF3sw80oBjY
Fuente: Hispasec