Un reciente estudio
de la firma de seguridad Cybereason ha revelado un fallo a la hora
de procesar determinados formatos de icono que, usado junto a un problema con la caché de iconos de Windows, permitiría a
cualquier PE (Portable Ejectutable) modificar la representación de
su icono de programa para simular un documento benigno o
cualquier otro icono de sistema.
La técnica parece
haber sido utilizado por variantes del ransomware “Cerber” entre
otros, y técnicamente se basa en un fallo de los sistemas Windows a
la hora de manejar iconos en formato “True Monochrome”. En vez de
cargar el icono original presente dentro del ejecutable, el sistema
carga un representación totalmente diferente basándose en la caché de
Iconos de Windows, como se puede ver en el vídeo ilustrativo:
El fallo reportado a Microsoft, estaría presente en la clase 'CImageList' de la librería comctl32.dll afectando a todas las versiones de Windows desde la 7 hasta la presente Windows 10.
Como medida general
de protección, recordamos activar siempre la opción de mostrar la extensión
de fichero en el explorador de Windows.
Más información:
A zebra in sheep’s clothing: How a Microsoft icon-display bug in Windows allows attackers to masquerade PE files with special icons
https://www.cybereason.com/labs-a-zebra-in-sheeps-clothing-how-a-microsoft-icon-display-bug-in-windows-allows-attackers-to-masquerade-pe-files-with-special-icons/
Cybereason discovers Windows icon display bug allowing attackers to masquerade files
https://www.youtube.com/watch?v=cF3sw80oBjY
José Mesa
No hay comentarios:
Publicar un comentario