CertUtil es una
herramienta de Microsoft incluida por defecto en Windows que nos permite
administrar nuestros certificados digitales, instalando nuevos en el ordenador,
haciendo copia de seguridad de los existentes e incluso eliminando los que ya
no queramos seguir utilizando. Además, esta herramienta nos permite descargar
certificados desde un servidor de Internet para instalarlos en nuestro
ordenador. Por desgracia, esta función no está correctamente limitada y un
usuario puede engañar a la aplicación para descargar de Internet cualquier tipo
de archivo.
No es la primera vez
que piratas informáticos utilizan esta técnica. En 2016, algunos investigadores
de seguridad empezaron a advertir sobre esta técnica. En 2017, además,
aparecieron pruebas de concepto de cómo poder explotarla para poder descargar
cualquier archivo, incluso malware, desde un servidor remoto utilizando la
herramienta CertUtil de Windows.
A pesar de que esta
técnica se conoce desde hace tiempo, Microsoft no ha actualizado la herramienta
para impedir que pueda ser utilizada para descargar archivos que no sean
certificados digitales. Además, al tratarse de una aplicación con la firma de
Microsoft, la mayoría de los antivirus confían en ella, por lo que no sospechan
de los ficheros que descargan y ejecutan.
Ya se han encontrado
varios troyanos que se aprovechan del fallo de seguridad CertUtil
Aunque hasta ahora no
se ha considerado un peligro masivo, recientemente se han visto ya varias
pruebas de concepto que demuestran lo sencillo que es explotar este fallo de
seguridad. Además, también se han encontrado varios troyanos recientemente
como, por ejemplo, este analizado en VirusTotal hace una semana.
Aunque los antivirus
detectan estas amenazas, como hemos explicado, al ser descargadas y ejecutadas
desde CertUtil, al ser una aplicación de confianza y llevar la firma digital de
Microsoft, se confía en ella y en todo lo que descarga y ejecuta, un error que
nos puede salir muy caro.
Cómo podemos protegernos del problema con
CertUtil
Hasta que Microsoft
decida solucionar este problema, del cual de momento no ha hecho declaraciones,
lo único que podemos hacer es, si no hacemos uso de las funciones de red de
esta herramienta para descargar certificados desde Internet, es bloquearla en
nuestro firewall, impidiendo que se pueda conectar a Internet.
De esta manera, si
alguna herramienta maliciosa intenta aprovecharse de esta herramienta para
descargar y ejecutar malware no podrá hacerlo al estar bloqueada. No se
recomienda eliminar a la fuerza esta herramienta, ya que eso puede causarnos
otros problemas en la estabilidad del equipo.
Fuente: bleepingcomputer