Cuidado con los instaladores MSI firmados: aunque parezcan fiables, pueden esconder virus y poner en peligro tu PC


Windows seguridad

Se está empezando a conocer que Microsoft y VirusTotal se han unido para detectar de un modo más eficiente los archivos ejecutables en formato MSI firmados que han sido modificados para incluir archivos Java maliciosos.
 

Y es que hay que tener en cuenta que cuando un desarrollador crea un software, suele firmarlo utilizando un certificado de código digital para certificar quién creó el programa, al tiempo que cualquier modificación en el ejecutable de Windows firmado, provocará que la firma no sea válida, lo que proporciona una capa adicional de seguridad.
 
Aunque los desarrolladores también pueden firmar un archivo “Microsoft Installer” o MSI con un certificado, esto no ofrece las mismas garantías en el supuesto de que este haya sido manipulado.
 
Esto se debe a que es posible modificar el contenido de un archivo MSI firmado, mientras que la firma seguirá siendo válida. Esto puede suponer un problema, como se está viendo ahora en algunos casos, ya que podría permitir a los atacantes utilizar archivos MSI como sistema de almacenamiento para programas maliciosos y que sigan apareciendo como firmados.
 
Dado que algunos antivirus se basan en estas firmas digitales para determinar si un archivo es malicioso o no, esto podría permitir que esos ficheros manipulados no sean detectados.
 
Así, el principal problema aquí es que se necesitaría otro programa para extraer el código malicioso del archivo MSI y ejecutarlo, aunque esto cambia si el MSI firmado tiene un archivo Java malicioso añadido. Decir que los archivos Java o JAR, son simplemente archivos Zip que contienen los componentes y código necesarios que permiten que sean ejecutados por un lanzador Java.

Windows seguridad

Por tanto, el conocido sitio VirusTotal explica que como los archivos JAR son simplemente archivos Zip, cuando Java ejecuta uno, lo hace leyendo desde el final del archivo hasta el principio, ignorando el resto del archivo MSI.

Los ejecutables MSI de Windows pueden contener malware difícil de detectar

Esto permite a los atacantes distribuir archivos MSI firmados con archivos JAR maliciosos adjuntos, renombrarlos a un archivo JAR, y luego ejecutarlos utilizando el lanzador “javaw.exe” de Java. Con el fin de demostrar este peligroso panorama centrado en los archivos MSI maliciosos, VirusTotal proporcionó una muestra descubierta que utilizaba el método anteriormente comentado, añadiendo que su servicio online está detectando este tipo de muestras como “Jacksbot“, aunque de momento son raras.
 
Por tanto esta técnica de ataque ha demostrado ser original y efectiva, aunque de momento no se ha extendido mucho, por lo que se puede considerar como rara. De este modo, aunque de puede añadir cualquier cosa al final de un fichero MSI, en este caso en particular, sólo un JAR se ejecutaría de la manera descrita, lo que podría ser dañino para los sistemas afectados.

seguridad en windows 10

Es por ello que recientemente Microsoft ha actualizado su herramienta Sigcheck para indicar si se ha manipulado un MSI firmado o no, algo que ya se ha implementado en Sigcheck 2.70 y está siendo utilizado por VirusTotal para detectar archivos MSI firmados que han sido modificados cuando se cargan en su servicio.
 
Por tanto, si Sigcheck detecta un archivo MSI firmado y modificado, mostrará la advertencia correspondiente a los usuarios como que el mismo está firmado pero no es válido, ya que el archivo es demasiado grande.
 
Al mismo tiempo el Centro de respuesta de seguridad de Microsoft también ha estado vigilando estos tipos de archivos maliciosos y afirmó que se muestran como firmados en las versiones más recientes y actualizadas de Windows 10 y Java, algo que todavía no ha sido solucionado en las versiones actuales de Windows 10, al menos por el momento.

Fuente > BleepingComputer

https://www.softzone.es/2019/01/17/instaladores-msi-firmados-virus/
 

Comentarios

Publicar un comentario

Entradas populares de este blog

Contactos de Google: cómo añadir, importar, hacer copias de seguridad y restaurar contactos

Imagen
Además de los documentos con información importante, fotos o vídeos, lo que más trastorno nos puede producir cuando cambiamos de dispositivo o tenemos un problema con él, es sin duda perder todos nuestros contactos. Para evitar eso, Google cuenta con su propia herramienta Contactos de Google y que está disponible en el servicio de correo de Gmail  como servicio independiente, así como parte de las aplicaciones web de Google.
Read more »

Firefox Quantum acabará al fin con uno de sus principales problema: el excesivo consumo de RAM

Imagen
Uno de los problemas que afecta a todos los navegadores modernos de hoy en día es el consumo de RAM. Si nuestro ordenador tiene 16 GB o 32 GB de memoria RAM, seguramente esto no nos importe demasiado, sin embargo, cuando nuestro ordenador tiene poca memoria, o solemos trabajar a menudo con muchas pestañas abiertas al mismo tiempo, el excesivo consumo de RAM de Google Chrome o Firefox sí puede ser un problema bastante grave.
Read more »

Así puedes cambiar el fondo de pantalla en Windows 10 sin activar

Imagen
Puede que todavía haya mucha gente que dude si es posible usar Windows 10 sin activar por tiempo ilimitado. Hace años, no activar con una clave de licencia el sistema operativo de Microsoft suponía que no podríamos seguir utilizándolo pasado el tiempo de prueba. Sin embargo, es posible utilizar Windows 10 aunque no esté activado sin límite de tiempo. Eso sí, tendremos otra serie de limitaciones en lo que a personalización del sistema se refiere. Vamos a mostrar cómo cambiar el fondo de pantalla en Windows 10 sin activar.
Read more »

Páginas web para descargar software de forma segura y evitar el malware

Imagen
Cada vez menos contenido se distribuye a través de formatos físicos como pueden ser los CDs o los DVDs. Hoy en día, la mayor parte de los programas de ordenador (e incluso los juegos) se ofrecen en formato digital a través de Internet de manera que los usuarios interesados puedan tener acceso a ellos al instante y, además, poder reducir los costes de medio y distribución, pudiendo, así, ofrecer los productos más baratos.  
Read more »

Si te gusta este tipo de música, así debes configurar VLC

Imagen
A estas alturas, nadie puede negar que VLC es el mejor reproductor multimedia disponible en el mercado, un reproductor que, además, es completamente gratuito y compatible con todos los formatos tanto actuales como antiguos (y lo que vendrán en el futuro). Aunque no es el único, ya que en el mercado podemos encontrar interesantes alternativas , sin embargo, si lo utilizamos para escuchar música techno , por ejemplo, es recomendable hacer una serie de ajustes para disfrutar de la mejor calidad posible.
Read more »

Solid Converter Pdf v8.2.4012.101 [Pdf a Word-Html-Excel]

Imagen
Solid Converter PDF v8.2.4012.101 Multilenguaje   Spanish Incl. | Medicina Incl. | 142 MB   Solid Converter es un conversor de archivos PDF a documentos de word, excel, por lo que podremos modificar dichos documentos (cosa que en los archivos PDF no podemos hacer). Y no es necesario tener instalado Acrobat Reader.  Solid converter tiene varias opciones con las que modificar el estilo de fuente, decidir el estado de los gráficos tras la conversión, el número de páginas a convertir,… Y no sólo eso, también nos va a permitir crear PDF a partir de un documento Word con un sólo clic y a una calidad óptima.  El programa se añade a laas opciones de word en la barra de herramientas, por lo que no tendremos que tener dos programas abiertos a la vez. •Conversión PDF a Word. Convierta sus archivos PDF a documentos de Microsoft® Word para editarlos fácilmente. •Conversión PDF a Excel. Convierta tablas de sus archivos PDF a hojas de cálculo de Microsoft® Excel. Seleccione páginas o el documento ent
Read more »