Roban un certificado a Opera y publican una actualización maliciosa para su navegador
Opera ha anunciado que el pasado 19 de junio sufrió un ataque dirigido
sobre su red interna, resultado: robo de un antiguo certificado empleado
para firmar código. La compañía reconoce que ha sido usado para firmar
malware y que incluso miles de usuarios del navegador (durante un
periodo de algo más de media hora) han podido recibir una actualización
maliciosa de forma automática.
No es la primera vez que a una importante compañía le roban un
certificado digital empleados para la firma de su software, podemos
recordar casos como los de Adobe o la compañía antivirus Bit9. Al final
el resulto es el mismo, unos atacantes logran firmar malware con un
certificado legítimo, lo que puede facilitar su instalación, pasar
desapercibido ante algunos antivirus o hacerse pasar por software
legítimo sin levantar sospechas. Esto es lo que ha ocurrido
recientemente en Opera.
Aunque el aviso de Opera anuncia un impacto limitado, que el ataque fue
contenido y sus sistemas revisados, reconocen el robo de un antiguo
certificado expirado usado para la firma de código. El portavoz de
Opera, Sigbjorn Vik, indicó que el certificado se ha usado para la firma
de malware. Actualmente se reconoce la existencia de al menos una
muestra de malware firmada con este certificado y que actualmente, según
VirusTotal, la detectan 23 de 47 antivirus.
“Esto puede permitirle distribuir software malicioso que aparezca
incorrectamente como publicado por Opera Software, o que parezca ser
el navegador Opera”
Adicionalmente, alertan de que varios miles de usuarios del navegador
Opera en el sistema operativo Microsoft Windows podrían haber sido
objeto de una actualización maliciosa de manera automática. El
responsable de Opera estima que la ventana de exposición habría sido
desde las 01:00 a las 01:36 (entre las 3:00 y la 1:36 hora española)
horario UTC del día 19 de junio.
No se aclara en el comunicado si los atacantes llegaron a usar la
infraestructura de Opera para liberar la actualización maliciosa, ya
que según la ventana de tiempo podría coincidir con el ataque. Otra
posibilidad sería que hubiesen comprometido los servidores de nombres de
Opera, los cuales se encuentran en su infraestructura, y hubiesen usado
un servidor malicioso.
Cabría destacar el hecho de que el ataque haya sido detectado el día 19,
al mismo tiempo que la ventana de exposición. Sin embargo este tipo de
ataque requiere de cierta complejidad y no sería exagerado pensar que
los atacantes podrían haber llevado más tiempo, días tal vez, dentro de
su infraestructura.
Opera confirma que liberará una nueva versión del navegador que incluirá
un nuevo certificado, por lo que recomiendan encarecidamente que se
actualice a la nueva versión tan pronto como esté disponible.
Fuente
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.