¿CONFIARÍA SU CONTRASEÑA A UN INTERMEDIARIO?

Lea cómo su PC confía en criminales, si Usted se lo permite.
Por Tomás Gálvez

solucion-pacifica-de-conflictos-laborales

WPAD es abreviatura para Web Proxy Auto-Discovery, y es una característica que permite a dispositivos detectar automáticamente el web proxy que deben usar. Un web proxy es un punto en la red que interviene y regula el tráfico de recursos entre computadoras solicitantes y computadoras proveedoras.

En sistemas Windows WPAD está habilitado por defecto, pero se recomienda deshabilitarlo a menos que se use con una buena razón. El motivo para deshabilitarlo es que facilita un ataque con el cual criminales pueden recolectar y ver tráfico a sitios de interés (como bancos), incluyendo tráfico cifrado.

Se ha detectado una campaña de spam/phishing que lleva un documento de Word adjunto con contenido malicioso. El contenido es un elemento similar a una factura, y al hacer click sobre él se ejecuta (con autorización del usuario) código que infecta la máquina. La infección consiste en descargar y ejecutar scripts de Windows PowerShell (una herramienta para automatización de tareas administrativas) que comienzan por instalar en la computadora un certificado para monitorear comunicación cifrada. Para entender esto hablemos un poco sobre PKI.

fvrqtre

La infraestructura PKI (Public Key Interface) consiste, entre otras cosas, de una autoridad de certificación (CA) y de varias partes que desean comunicarse. La CA emite certificados que validan la identidad de un sitio y los certificados de diferentes sitios se instalan en computadoras junto con una clave pública usada para descifrar información enviada exclusivamente por ese sitio. A la vez los usuarios cifran la información que desean enviar al sitio con la clave pública, y sólo el sitio puede descifrar dicha información. El elemento que permite esta exclusividad y autenticidad es la clave privada que el sitio guarda en secreto, y que se asocia o empareja con una o más claves públicas entregadas con los certificados.

El certificado instalado durante el ataque es emitido y firmado por los atacantes para comunicación con un web proxy que les pertenece. Los scripts ejecutados instalan además un cliente (programa local) para conexión a la red Tor, usada por los atacantes para comunicación con su proxy. La red Tor es uno de los elementos que normalmente se asocian a la “Deep/dark web” porque la anonimidad que provee la hace preferida por criminales.

Finalmente se modifica la configuración del proxy en nuestro sistema para que apunte al servidor de los atacantes. El resultado es entonces que nuestras conexiones son monitoreadas por estos criminales y, gracias al certificado instalado que los identifica como punto de comunicación confiable, dicho proxy puede descifrar la comunicación segura (enviada por el puerto 443 usando SSL).

Esta amenaza ha sido identificada por Microsoft como “Certor”, y si Certor ha comprometido nuestro sistema deberíamos encontrar en él archivos con los nombres ps.ps1, psf.ps1 y pstp.ps1. Para proteger nuestras comunicaciones de este elemento malicioso recomendamos lo siguiente:

Es muy importante revisar la configuración de WPAD en cualquier sistema, en especial en sistemas Windows ya que éstos habilitan WPAD por defecto. En cualquier caso, WPAD debe estar deshabilitado. La siguiente imagen tomada de Steemit muestra cómo lograr esto  en Windows:

screen-shot-lan

  • Certor hace su daño cuando el usuario permite la ejecución de código desde un archivo de Word malicioso. No debe estar permitida la ejecución automática de macros ni código en cualquier programa de Microsoft Office, y si un documento pide autorización para estas ejecuciones es preferible negarla a menos que estemos totalmente seguros de lo que hace.
  • Puesto que el archivo de Word llega por medio de campañas de phishing las recomendaciones en este caso son las habituales: verificar el origen de cualquier correo electrónico recibido; no abrir adjuntos ni clickear en hipervínculos si no sabemos qué hacen; y principalmente concientizar a todo miembro de la organización u hogar sobre los peligros en el uso de correo electrónico.
  • Si nuestro sistema ha sido infectado con Certor podemos ejecutar las herramientas gratuitas de Microsoft para su detección y remoción. Estas herramientas son Windows Defender, Microsoft Security Essentials y Microsoft Safety Scanner.

Fuentes:

http://www.pcworld.com/article/3114066/security/attackers-deploy-rogue-proxies-on-computers-to-hijack-https-traffic.html
https://blogs.technet.microsoft.com/mmpc/2016/08/29/double-click-me-not-malicious-proxy-settings-in-ole-embedded-script/
http://www.ibtimes.co.uk/what-wpad-why-you-need-disable-this-windows-feature-immediately-1576150
https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Trojan:JS/Certor.A
https://technet.microsoft.com/en-us/library/security/ms16-077.aspx

No hay comentarios

Agregar comentario