jueves, 27 de junio de 2013

Roban un certificado a Opera y publican una actualización maliciosa para su navegador

Opera ha anunciado que el pasado 19 de junio sufrió un ataque dirigido sobre su red interna, resultado: robo de un antiguo certificado empleado para firmar código. La compañía reconoce que ha sido usado para firmar malware y que incluso miles de usuarios del navegador (durante un periodo de algo más de media hora) han podido recibir una actualización maliciosa de forma automática.

No es la primera vez que a una importante compañía le roban un certificado digital empleados para la firma de su software, podemos recordar casos como los de Adobe o la compañía antivirus Bit9. Al final el resulto es el mismo, unos atacantes logran firmar malware con un certificado legítimo, lo que puede facilitar su instalación, pasar desapercibido ante algunos antivirus o hacerse pasar por software legítimo sin levantar sospechas. Esto es lo que ha ocurrido recientemente en Opera.

Aunque el aviso de Opera anuncia un impacto limitado, que el ataque fue contenido y sus sistemas revisados, reconocen el robo de un antiguo certificado expirado usado para la firma de código. El portavoz de Opera, Sigbjorn Vik, indicó que el certificado se ha usado para la firma de malware. 
"Esto puede permitirle distribuir software malicioso que aparezca incorrectamente como publicado por Opera Software, o que parezca ser el navegador Opera"
Actualmente se reconoce la existencia de al menos una muestra de malware firmada con este certificado y que actualmente, según VirusTotal, la detectan 23 de 47 antivirus. Lo que puede considerarse aun más grave es que, según la alerta, varios miles de usuarios del navegador Opera en el sistema operativo Microsoft Windows podrían haber sido objeto de una actualización maliciosa de manera automática. El responsable de Opera estima que la ventana de exposición habría sido desde las 01:00 a las 01:36 horario UTC (entre las 3:00 y la 3:36 hora española) del día 19 de junio.

No se aclara en el comunicado si los atacantes llegaron a usar la infraestructura de Opera para liberar la actualización maliciosa, ya que según la ventana de tiempo podría coincidir con el ataque. Otra posibilidad sería que hubiesen comprometido los servidores de nombres de Opera, los cuales se encuentran en su infraestructura, y hubiesen usado un servidor malicioso.

Cabría destacar el hecho de que el ataque haya sido detectado el día 19, al mismo tiempo que la ventana de exposición. Sin embargo este tipo de ataque requiere de cierta complejidad y no sería exagerado pensar que los atacantes podrían haber llevado más tiempo, días tal vez, dentro de su infraestructura.

Opera confirma que liberará una nueva versión del navegador que incluirá un nuevo certificado, por lo que recomiendan encarecidamente que se actualice a la nueva versión tan pronto como esté disponible.

Más información:

Security breach stopped
http://my.opera.com/securitygroup/blog/2013/06/26/opera-infrastructure-attack

una-al-dia (13/02/2013) El ataque a Bit9, malware firmado con certificados y otras conclusiones
http://unaaldia.hispasec.com/2013/02/el-ataque-bit9-malware-firmado-con.html

una-al-dia (30/09/2012) ¿Qué ha pasado con el certificado de Adobe?
http://unaaldia.hispasec.com/2012/09/que-ha-pasado-con-el-certificado-de.html

8ecbca0de44c82d1c7ffced288aa68c1247bb1255693cd1c5747fb6cef394b43
https://www.virustotal.com/en/file/8ecbca0de44c82d1c7ffced288aa68c1247bb1255693cd1c5747fb6cef394b43/analysis/


David García
dgarcia@hispasec.com
Twitter: @dgn1729


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Etiquetas: , , , ,

2 comentarios:

  1. Anónimo27 de junio de 2013, 10:53

    Erratas:
    "entre las 3:00 y la 1:36 hora española", seran las 3:36.
    Y ese párrafo esta repetido 2 veces.

    Un saludo.

    ResponderEliminar
  2. Anónimo27 de junio de 2013, 10:58

    @Anónimo: Es correcto. Corregido. Gracias.

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017