A veces los parches para solucionar problemas de seguridad no provienen de las empresas que han creado las tecnologías o herramientas, sino de terceros, ante la inacción de estas.
Algo así es lo que ha ocurrido en esta ocasión, según se hace eco The Hacker News. Se acaba de lanzar un parche no oficial para una falla de seguridad explotada activamente en Microsoft Windows que hace posible que aquellos archivos firmados con firmas mal formadas eludan de manera silenciosa las protecciones Mark-of-the-Web (MotW). Tras la solución se encuentra 0patch.
Hace semanas HP Wolf Security revelo una campaña del ransomware Magniber dirigida a los usuarios con actualizaciones de seguridad falsas que empleaban un archivo JavaScript para propagar el malware de cifrado de datos.
Es cierto que los archivos descargados de Internet en Windows están etiquetados con un indicador MotW con el fin de evitar acciones no autorizadas. Sin embargo, se ha descubierto que las firmas corruptas de Authenticode se pueden usar para permitir la ejecución de ejecutables arbitrarios sin que salte ninguna advertencia de SmartScreen.
Authenticode es una tecnología de firma de código de Microsoft que autentica la identidad del editor de un software en particular y verifica si este fue manipulado después de que se firmó y se publicó.
Patrick Schläpfer, investigador de HP Wolf Security, advertía como aunque el JavaScript incluye el MotW se ejecuta sin ninguna advertencia de seguridad cuando es abierto. Al estar mal formada la firma este no salta.
Según señala la cofundadora de 0patch, Mitja Kolsek, el error de día cero es el resultado de que SmartScreen devuelve una excepción al analizar la firma con formato incorrecto, lo que se interpreta incorrectamente como una decisión de ejecutar el programa en lugar de activar una advertencia.
Puertas abiertas para los cibermalos
"Para los atacantes es mucho mejor que sus archivos maliciosos no estén marcados con MotW. Esta vulnerabilidad les permite crear un archivo ZIP de modo que los archivos maliciosos extraídos no estén marcados", añade Kolsek.
La solución para el agujero de seguridad llega menos de dos semanas después de que se enviaran parches no oficiales para otra falla de derivación de MotW de día cero que salió a la luz en julio.