Flame utilizaba certificados digitales de Microsoft

Escrito por Adrián Crespo
Seguridad
0

Se empiezan a obtener los primeros detalles sobre el funcionamiento del virus más complejo jamás creado y que era utilizado para recopilar una gran cantidad de información del equipo en el que se encontraba instalado.

Según han detallado responsables de Microsoft, el virus utilizaba certificados digitales no autorizados, lo que provocaba que el virus pudiese instalarse en el sistema sin ningún tipo de problema, ya que este se hacía pasar por componentes legítimos de Windows.

La compañía ya ha liberado un parche de seguridad a traves de su servicios Windows Update para bloquear los certificados utilizados por el virus. Sin embargo, aún todavía se desconoce cual ha sido la fuente del certificado digital que se ha liberado y como ha llegado hasta los creadores de Flame.

La persona al mando del Centro de Respuesta de Seguridad de Microsoft, Mike Reavey ha declarado que el código del que se vale el virus fue firmado utilizando una Terminal del Servidor del servicio de licencias, que únicamente es utilizado por clientes corporativos, es decir, sólo es utilizado para autorizar servicios de escritorio remoto. A pesar de que parece que han encontrado la fuente donde se originó el problema, Reavey no ha querido entrar en detalles  de cómo pudieron los creadores del virus firmar el código con esos certificados.

A pesar de todo el director de dicho departamento cree que se utilizó una vulnerabilidad de un viejo algoritmo de cifrado.

La utilización del algoritmo MD5, ¿la fuente del problema?

En el caso de que se utilizara este algoritmo, teniendo en cuenta que hace tiempo que ha sido catalogado como inseguro, un hacker puede crear una copia exacta del código extraído mediante el código MD5. Por lo tanto, aunque parte del código no sea de Microsoft, al poseer el hash de un código salido del MD5, este código sería aceptado por el sistema y sería dado por válido para que se ejecutase.

Sin embargo y a pesar de todo esto, aún no nos queda claro cual es el origen del problema. Aunque parece que ha sido un error del personal de Microsoft, a pesar de que no hayan querido aceptarlo de forma pública.

En resumen, un total de tres certificados se han visto afectados y han sido bloqueados por la actualización publicada por Microsoft en Windows Update.

Fuente | Subdirección de Seguridad de la Información


Noticias relacionadas