Malware firmado = «Vaya» caro para HP – Krebs on Security

Fabricante de la industria informática y de software HP está en el proceso de notificar a los clientes sobre un incidente de seguridad aparentemente inofensivo en 2010 que, sin embargo, podría resultar costoso para la empresa solucionarlo y presentar problemas de soporte únicos para los usuarios de sus productos más antiguos.

Problemas A principios de esta semana, HP discretamente emitió varios avisos para clientes que indicaban que el 21 de octubre de 2014 planea revocar un certificado digital que la empresa utilizó anteriormente para firmar criptográficamente los componentes de software que se envían con muchos de sus productos más antiguos. HP dijo que estaba dando este paso por precaución porque descubrió que el certificado se había utilizado por error para firmar software malicioso en mayo de 2010.

La firma de código es una práctica destinada a brindar a los usuarios de computadoras y administradores de red una confianza adicional sobre la integridad y seguridad de un archivo o programa. En consecuencia, los certificados digitales privados que los principales proveedores de software utilizan para firmar el código son muy apreciados por los atacantes, ya que les permiten disfrazar mejor el malware como software legítimo.

por ejemplo, el Malware Stuxnet infame Aparentemente creado como un proyecto patrocinado por el estado para retrasar las ambiciones nucleares de Irán, contenía varios componentes que estaban firmados digitalmente con certificados que habían sido robados de compañías conocidas. En casos anteriores en los que se utilizaron certificados digitales privados de una empresa para firmar malware, los incidentes fueron precedidos por ataques altamente dirigidos destinados a robar los certificados. En febrero de 2013, el proveedor de software de lista blanca Bit9 descubrió que los certificados digitales robados del sistema de un desarrollador se habían utilizado para firmar malware que se envió a varios clientes que usaban el software de la empresa.

Pero según el director global de seguridad de la información de HP Brett Wahlin, nada tan sexy o dramático estuvo involucrado en la decisión de HP de revocar este certificado en particular. Wahlin dijo que HP fue alertada recientemente por Symantec sobre un curioso programa troyano de cuatro años que parecía haber sido firmado con uno de los certificados privados de HP y encontrado en un servidor fuera de la red de HP. Una investigación más profunda rastreó el problema hasta una infección de malware en la computadora de un desarrollador de HP.

Los investigadores de HP creen que el troyano en la PC del desarrollador se renombró para imitar uno de los nombres de archivo que la compañía suele usar en sus pruebas de software, y que el archivo malicioso se incluyó sin darse cuenta en un paquete de software que luego se firmó con el certificado digital de la compañía. La empresa cree que el malware salió de la red interna de HP porque contenía un mecanismo diseñado para transferir una copia del archivo a su punto de origen.

Wahlin enfatizó que el paquete de software en cuestión nunca se incluyó en el software que se envió a los clientes o se puso en producción. Además, dijo, no hay evidencia de que alguno de los certificados privados de HP haya sido robado.

“Cuando la gente escuche esto, muchos asumirán automáticamente que tuvimos algún tipo de compromiso dentro de nuestra infraestructura de firma de código, y ese no es el caso”, dijo. “Podemos demostrar que nunca hemos tenido una brecha en nuestra [certificate authority] y que nuestra infraestructura de firma de código está 100 por ciento intacta”.

Incluso si las preocupaciones de seguridad de este incidente son mínimas, es probable que la revocación de este certificado genere problemas de soporte para algunos clientes. El certificado en cuestión caducó hace varios años, por lo que no se puede utilizar para firmar digitalmente nuevos archivos. Pero según HP, se usó para firmar una gran parte del software de HP, incluidos los controladores de software y hardware cruciales, y otros componentes que interactúan de manera fundamental con el Microsoft Windows sistema operativo.

Por lo tanto, revocar el certificado significa que HP debe volver a firmar el software que ya está en uso. Wahlin dijo que la mayoría de los clientes afectados por este cambio simplemente encontrarán advertencias de Windows si intentan reinstalar ciertos controladores desde el medio de instalación original, por ejemplo. Pero una clave desconocida en este momento es cómo afectará este movimiento a las computadoras HP que tienen «particiones de recuperación» integradas: pequeñas secciones al comienzo del disco duro de la computadora que se pueden usar para restaurar el sistema a su estado original de fábrica. configuración de programas

“Lo interesante que surge aquí, e incluso Microsoft no sabe la respuesta a esto, es lo que les sucede a los sistemas con la partición de restauración, si es necesario restaurarlos”, dijo Wahlin. “Nuestro grupo de PC está trabajando para intentar crear soluciones que ayuden a los clientes si eso realmente se convierte en un escenario del mundo real, pero al final eso es algo que no podemos probar en un entorno de laboratorio hasta que el certificado sea revocado oficialmente por verisign el 21 de octubre.”

¿Que te ha parecido?

Deja un comentario