El siguiente post es una traducción (con algunas adaptaciones idiomáticas) del texto, realizado por Aryeh Goretsky publicado en el blog de ESET en inglés donde explica lo sucedido la semana pasada en relación al catálogo de actualizaciones de Micrsoft.
La semana pasada, recibimos un reporte de un cliente quien reporto que ESET NOD32 Antivirus previno que un Troyano infecte la computadora portátil de un usuario. Mientras que esto no es inusual en si mismo, lo que fue notable fue la fuente de infección: el propio Catalogo de actualizaciones de Microsoft.
Como ya sabrán, Microsoft no solo provee actualizaciones para su propio sistema operativo y aplicaciones, sino que también proveen cientos de miles de controladores de dispositivos. Un controlador de dispositivos es un software especializado que le permite al sistema operativo el uso de un dispositivo particular, como una impresora o un mouse. Mientras Microsoft escribe algunos de estos controladores por si mismo, muchos de ellos son muy básicos y proveen funcionalidades rudimentarias: Depende de cada fabricante de hardware el crear un controlador que aproveche completamente cualquier funcionalidad adicional que hayan diseñado. En el caso de una placa de video, podría tratarse de soporte para resoluciones de pantalla adicionales y profundidades de color y aceleración gráfica 3D. Para asegurarse que los clientes tengan la mejor experiencia posible con Windows, Microsoft almacena esos controladores de dispositivos escritos por terceras partes en su Catalogo de Actualizaciones, para que cuando una computadora corriendo Windows busque una actualización, pueda descargar el ultimo controlador de dispositivo para su hardware.
En este caso, sin embargo, el dispositivo que nuestro cliente conecto en su notebook parece haber sido un cargador de baterías Energizer® DUO USB, el cual es un cargador AC y USB para baterías NiMH recargables. En el caso que este dispositivo les resulte familiar, quizás recuerden esta pagina web del 2010 : US-CERT Vulnerability Note VU#154421: Energizer DUO USB battery charger software allows unauthorized remote system access que discutía cómo un cargador de baterías cargado con software de administración para Microsoft Windows también instalaba un troyano indeseado de acceso remoto Win32/Arurizer.
Un análisis preliminar del archivo indicaba que este no era un falso positivo, es decir, un reporte incorrecto de una amenaza cuando en realidad no estaba presente, y Microsoft fue notificado, quien no solo removió apropiadamente el archivo de su Catalogo de Actualizaciones, sino que también bloqueo el acceso a la pagina web que usaba para almacenar dicha actualización a través del SmartScreen Filter del Internet Explorer, como pueden ver en esta captura de pantalla:
Por experiencia, sabemos que Microsoft hace mucho por monitorear a los contenidos de terceros provistos para ser distribuidos a través de su Catalogo de Actualizaciones, por lo que es un poco desconcertante verlos almacenando software malicioso, especialmente una amenaza tan antigua. Estuvimos, sin embargo, muy impresionados con la rápida respuesta de Microsoft al remover el archivo malicioso.
Administradores IT y clientes confían en los servicios de actualización de Microsoft como Microsoft Update para detectar y aplicar parches y actualizaciones de seguridad para los sistemas operativos y aplicaciones, y lo consideran una fuente segura y confiable. Es importante recordar, sin embargo, que a pesar que un archivo pueda ser descargado desde Microsoft, puede no haber sido escrito por ellos, especialmente en el caso de un controlador de dispositivos.
Me gustaría señalar, sin embargo, que esto podría haber ocurrido con otro fabricante: Servicios de actualización centralizados para sistemas operativos no son únicos de Microsoft. Muchos desarrolladores proveen esa clase de servicios para computadoras corriendo su sistema operativo y, cada vez más, también lo hacen los fabricantes de smart phones. Mientras fabricantes de sistemas operativos chequean rutinariamente en busca de amenazas en nuevos controladores de dispositivos que les proveen terceros, seria probablemente una buena idea si escanearan periódicamente sus catálogos existentes también, sin importar cuán viejos sean.
Actualización #1: Randy Abrams ha posteado el siguiente articulo, Anatomy of a Biting Bunny – The Infected Microsoft Catalog Update con información adicional acerca de cómo funcionan los sistemas de actualización, por qué podrían distribuir código de terceras partes y qué se podría hacer para prevenir en el futuro la distribución de malware en servicios como Windows Update de Microsoft.
Aryeh Goretsky, MVP, ZCSE
Distinguished Researcher
Traducido por Juan Forgia
