En septiembre de 2021, expertos en seguridad digital descubrieron un ataque generalizado dirigido a usuarios de Windows. El ataque utilizaba malware para lanzar una falsa alerta de certificado caducado en sitios web que incitaba a los usuarios a descargar una actualización, que en realidad contenía software malicioso que daba a los hackers acceso remoto a los ordenadores infectados.
A continuación explicamos cómo se ejecutó el ataque, qué sabemos hasta ahora de su impacto y consejos para proteger su organización de amenazas como ésta en el futuro.
Dentro del ataque: Cómo los hackers crearon falsas alertas de certificados caducados
El ataque tenía como objetivo Windows Internet Information Services (IIS), que es el servidor web de Microsoft instalado en todas las versiones de Windows desde Windows 2000, XP y Server 2003.
Cuando los usuarios vulnerables visitaban determinados sitios, veían una página de error con una nota sobre un posible riesgo para la seguridad y la recomendación de descargar un certificado de seguridad actualizado para continuar.
Al hacer clic para realizar la actualización, en realidad se descargaba un instalador de actualizaciones falso firmado con un certificado de la autoridad de certificación raíz Digicert. Esta actualización incluía el malware conocido como TVRAT, que proporciona acceso remoto completo a cualquier dispositivo en el que esté instalado a través del control remoto TeamViewer software. El malware TVRAT también se utilizó en un ataque de 2013 relacionado con archivos adjuntos de Microsoft Office.
Al completar la instalación, los hackers recibían una notificación y podían hacerse con el control de los dispositivos infectados.
El impacto del atentado: Lo que sabemos hasta ahora
Por desgracia, este ataque es sólo el ejemplo más reciente de una serie de ataques dirigidos contra Windows IIS.
En los últimos años han aparecido varias vulnerabilidades más en IIS, incluidas otras dos en 2021: Una vulnerabilidad en forma de gusano para la que Microsoft publicó un parche en mayo y una amenaza persistente avanzada basada en algunos exploits de un grupo conocido como Praying Mantis que tuvo como objetivo Windows IIS en agosto.
En general, esta serie de ataques no sólo pone de relieve ciertas vulnerabilidades que hay que conocer, sino que también subraya la importancia de las actualizaciones periódicas de seguridad y de la educación general de los usuarios.
Y lo que es más importante, el ataque del certificado caducado falso arroja luz sobre la importancia de la visibilidad en la gestión del ciclo de vida de los certificados para comprender mejor riesgos potenciales como estos.
Lecciones aprendidas: Proteger su organización
Profundizando en el tema, hay dos lecciones fundamentales aprendidas de este ataque que pueden ayudar a los equipos de seguridad a proteger a sus organizaciones de amenazas como ésta en el futuro:
1) No subestime la importancia de la gestión de la ICP
Una gestión eficaz de la PKI puede proporcionar la visibilidad y los informes necesarios para anticiparse a posibles problemas como el que resultó del ataque del certificado caducado falso.
En primer lugar, disponer de capacidades de escaneado y detección adecuadas puede ayudar a los equipos de seguridad a determinar fácilmente si se ha instalado un certificado en un servidor. También puede proporcionar detalles adicionales importantes como cuándo se instaló, quién lo instaló e incluso el propósito del certificado. Esta información puede ayudar a los equipos a mantener el control de los certificados en toda la organización.
En segundo lugar, disponer de un sistema que pueda proporcionar un inventario completo de certificados puede permitir identificar rápidamente cualquier anomalía, lo que permite a los equipos de seguridad investigar lo que está ocurriendo en una fase temprana para evitar que los pequeños problemas se conviertan en problemas aún mayores.
2) Educar a los usuarios finales para que formen parte de la solución
Además, es importante reconocer que los usuarios finales pueden ser un punto débil o un activo en materia de seguridad, dependiendo de la formación que reciban.
Lo ideal sería que los equipos educaran a los usuarios en una serie de medidas de seguridad importantes, incluido el hecho de que nunca deben aceptar o instalar un certificado que no conozcan. No importa lo sencillo que esto pueda parecer a los profesionales de la seguridad que viven y respiran esto todos los días, tomarse el tiempo para educar a los usuarios finales en una variedad de mejores prácticas puede ayudar mucho a disminuir las vulnerabilidades de origen humano (como los usuarios que descargan un certificado falso).
¿Y ahora qué?
No podemos pasar por alto la importancia del ataque del falso certificado caducado de septiembre de 2021. Este ataque utilizaba malware para crear una alerta de aspecto muy realista, que incluía un certificado firmado por una CA raíz muy respetada, con el propósito de descargar un programa malicioso para dar a los hackers acceso remoto a los dispositivos.
Puede que sea el ejemplo más reciente de un ataque sofisticado, pero sin duda no será el último. Los equipos de seguridad deben mantenerse al día sobre las últimas amenazas de este tipo para entender cómo evolucionan los ataques y cómo pueden seguir mejorando su postura de seguridad y educar a los usuarios para proteger a sus organizaciones en el futuro.
