Resultados 1 al 1 de 1

Troyano en las actualizaciones de Microsoft: el conejo muerde otra vez

  1. #1 Troyano en las actualizaciones de Microsoft: el conejo muerde otra vez 
    Colaborador HH
    Fecha de ingreso
    Sep 2006
    Ubicación
    Argentina
    Mensajes
    2.073
    Descargas
    16
    Uploads
    0
    La semana pasada, recibimos un reporte de un cliente quien reporto que ESET NOD32 Antivirus previno que un Troyano infecte la computadora portátil de un usuario. Mientras que esto no es inusual en si mismo, lo que fue notable fue la fuente de infección: el propio Catalogo de actualizaciones de Microsoft.

    Como ya sabrán, Microsoft no solo provee actualizaciones para su propio sistema operativo y aplicaciones, sino que también proveen cientos de miles de controladores de dispositivos. Un controlador de dispositivos es un software especializado que le permite al sistema operativo el uso de un dispositivo particular, como una impresora o un mouse. Mientras Microsoft escribe algunos de estos controladores por si mismo, muchos de ellos son muy básicos y proveen funcionalidades rudimentarias: Depende de cada fabricante de hardware el crear un controlador que aproveche completamente cualquier funcionalidad adicional que hayan diseñado. En el caso de una placa de video, podría tratarse de soporte para resoluciones de pantalla adicionales y profundidades de color y aceleración gráfica 3D. Para asegurarse que los clientes tengan la mejor experiencia posible con Windows, Microsoft almacena esos controladores de dispositivos escritos por terceras partes en su Catalogo de Actualizaciones, para que cuando una computadora corriendo Windows busque una actualización, pueda descargar el ultimo controlador de dispositivo para su hardware.

    En este caso, sin embargo, el dispositivo que nuestro cliente conecto en su notebook parece haber sido un cargador de baterías Energizer® DUO USB, el cual es un cargador AC y USB para baterías NiMH recargables. En el caso que este dispositivo les resulte familiar, quizás recuerden esta pagina web del 2010 : US-CERT Vulnerability Note VU#154421: Energizer DUO USB battery charger software allows unauthorized remote system access que discutía cómo un cargador de baterías cargado con software de administración para Microsoft Windows también instalaba un troyano indeseado de acceso remoto Win32/Arurizer.

    Un análisis preliminar del archivo indicaba que este no era un falso positivo, es decir, un reporte incorrecto de una amenaza cuando en realidad no estaba presente, y Microsoft fue notificado, quien no solo no removió apropiadamente el archivo de su Catalogo de Actualizaciones, sino que también bloqueo el acceso a la pagina web que usaba para almacenar dicha actualización a través del SmartScreen Filter del Internet Explorer, como pueden ver en esta captura de pantalla:


    Por experiencia, sabemos que Microsoft hace mucho por monitorear a los contenidos de terceros provistos para ser distribuidos a través de su Catalogo de Actualizaciones, por lo que es un poco desconcertante verlos almacenando software malicioso, especialmente una amenaza tan antigua. Estuvimos, sin embargo, muy impresionados con la rápida respuesta de Microsoft al remover el archivo malicioso.

    Administradores IT y clientes confían en los servicios de actualización de Microsoft como Microsoft Update para detectar y aplicar parches y actualizaciones de seguridad para los sistemas operativos y aplicaciones, y lo consideran una fuente segura y confiable. Es importante recordar, sin embargo, que a pesar que un archivo pueda ser descargado desde Microsoft, puede no haber sido escrito por ellos, especialmente en el caso de un controlador de dispositivos.

    Me gustaría señalar, sin embargo, que esto podría haber ocurrido con otro fabricante: Servicios de actualización centralizados para sistemas operativos no son únicos de Microsoft. Muchos desarrolladores proveen esa clase de servicios para computadoras corriendo su sistema operativo y, cada vez más, también lo hacen los fabricantes de smart phones. Mientras fabricantes de sistemas operativos chequean rutinariamente en busca de amenazas en nuevos controladores de dispositivos que les proveen terceros, seria probablemente una buena idea si escanearan periódicamente sus catálogos existentes también, sin importar cuán viejos sean.

    Fuente
    Última edición por 4v7n42; 10-02-2011 a las 18:46
    "¿Acaso vuestro terror se asemeja al del despotismo? Si, la espada que brilla en las manos de los héroes de la libertad se asemeja a la espada con la que están armados los esbirros de la tiranía."
    Citar  
     

Temas similares

  1. Respuestas: 0
    Último mensaje: 20-10-2011, 21:22
  2. Respuestas: 2
    Último mensaje: 29-04-2006, 23:28
  3. Respuestas: 0
    Último mensaje: 09-06-2004, 12:40
  4. Respuestas: 0
    Último mensaje: 27-03-2004, 12:47
  5. Segun el tema del troyano.......otra cosa
    Por Zakiro en el foro INTRUSION
    Respuestas: 1
    Último mensaje: 01-01-2003, 23:17

Marcadores

Marcadores