7 de abril de 2018

CERTUTIL. Herramienta de Microsoft que puede cargar malware en el PC evitando antivirus

CertUtil es una herramienta de Microsoft incluida por defecto en Windows que nos permite administrar nuestros certificados digitales, instalando nuevos en el ordenador, haciendo copia de seguridad de los existentes e incluso eliminando los que ya no queramos seguir utilizando. Además, esta herramienta nos permite descargar certificados desde un servidor de Internet para instalarlos en nuestro ordenador. Por desgracia, esta función no está correctamente limitada y un usuario puede engañar a la aplicación para descargar de Internet cualquier tipo de archivo.
No es la primera vez que piratas informáticos utilizan esta técnica. En 2016, algunos investigadores de seguridad empezaron a advertir sobre esta técnica. En 2017, además, aparecieron pruebas de concepto de cómo poder explotarla para poder descargar cualquier archivo, incluso malware, desde un servidor remoto utilizando la herramienta CertUtil de Windows.
A pesar de que esta técnica se conoce desde hace tiempo, Microsoft no ha actualizado la herramienta para impedir que pueda ser utilizada para descargar archivos que no sean certificados digitales. Además, al tratarse de una aplicación con la firma de Microsoft, la mayoría de los antivirus confían en ella, por lo que no sospechan de los ficheros que descargan y ejecutan.
Ya se han encontrado varios troyanos que se aprovechan del fallo de seguridad CertUtil
Aunque hasta ahora no se ha considerado un peligro masivo, recientemente se han visto ya varias pruebas de concepto que demuestran lo sencillo que es explotar este fallo de seguridad. Además, también se han encontrado varios troyanos recientemente como, por ejemplo, este analizado en VirusTotal hace una semana.
Aunque los antivirus detectan estas amenazas, como hemos explicado, al ser descargadas y ejecutadas desde CertUtil, al ser una aplicación de confianza y llevar la firma digital de Microsoft, se confía en ella y en todo lo que descarga y ejecuta, un error que nos puede salir muy caro.
Cómo podemos protegernos del problema con CertUtil
Hasta que Microsoft decida solucionar este problema, del cual de momento no ha hecho declaraciones, lo único que podemos hacer es, si no hacemos uso de las funciones de red de esta herramienta para descargar certificados desde Internet, es bloquearla en nuestro firewall, impidiendo que se pueda conectar a Internet.
De esta manera, si alguna herramienta maliciosa intenta aprovecharse de esta herramienta para descargar y ejecutar malware no podrá hacerlo al estar bloqueada. No se recomienda eliminar a la fuerza esta herramienta, ya que eso puede causarnos otros problemas en la estabilidad del equipo.
Fuente: bleepingcomputer