Abuso de Microsoft Trusted Signing para firmar malware con certificados de corta duración
En un reciente descubrimiento, se ha evidenciado que ciberdelincuentes están explotando la plataforma Microsoft Trusted Signing para firmar código malicioso con certificados digitales válidos. Estos certificados, emitidos por Microsoft, tienen una validez de solo tres días, lo que dificulta su detección y bloqueo por parte de los sistemas de seguridad.
¿Qué es Microsoft Trusted Signing?
Microsoft Trusted Signing es un servicio diseñado para permitir a los desarrolladores firmar digitalmente sus aplicaciones y scripts, garantizando su autenticidad e integridad. Este proceso es fundamental en entornos empresariales y de desarrollo, ya que los sistemas operativos modernos, como Windows, confían en las firmas digitales para verificar que el software proviene de una fuente legítima y no ha sido alterado.
La firma de código es un mecanismo de seguridad crítico que utiliza certificados digitales emitidos por autoridades de certificación (CA) reconocidas. Sin embargo, este mismo mecanismo está siendo aprovechado por actores maliciosos para evadir controles de seguridad.
El abuso de certificados de corta duración
Los atacantes están utilizando cuentas comprometidas o creadas fraudulentamente en Microsoft Trusted Signing para generar certificados de corta duración. Estos certificados, válidos por solo 72 horas, son utilizados para firmar ejecutables maliciosos, lo que les permite pasar desapercibidos durante ese período.
Una vez que el certificado expira, el malware pierde su firma válida, pero para entonces ya puede haber infectado sistemas objetivo. Este enfoque de “firma rápida” dificulta la detección proactiva, ya que los equipos de seguridad tienen menos tiempo para identificar y bloquear el certificado antes de que caduque.
Implicaciones técnicas y riesgos
El abuso de este servicio plantea varios desafíos técnicos y de seguridad:
- Evasión de controles de seguridad: Los sistemas que confían en las firmas digitales pueden considerar el malware como legítimo mientras el certificado esté vigente.
- Dificultad en la detección: La corta vida útil de los certificados complica su identificación y bloqueo antes de que caduquen.
- Explotación de servicios legítimos: El uso de plataformas confiables como Microsoft Trusted Signing erosiona la confianza en estos servicios y aumenta el riesgo de falsos positivos.
Medidas de mitigación
Para contrarrestar esta amenaza, se recomienda implementar las siguientes medidas:
- Monitoreo continuo: Supervisar las actividades relacionadas con la emisión y uso de certificados en plataformas como Microsoft Trusted Signing.
- Verificación adicional: No confiar únicamente en las firmas digitales; combinar su uso con análisis heurísticos y de comportamiento.
- Actualizaciones de seguridad: Mantener los sistemas y herramientas de detección actualizados para identificar patrones de abuso.
Conclusión
El abuso de Microsoft Trusted Signing para firmar malware con certificados de corta duración representa una amenaza significativa para la seguridad informática. Este caso subraya la importancia de adoptar un enfoque de defensa en profundidad, combinando múltiples capas de seguridad para mitigar riesgos asociados con la explotación de servicios legítimos.
Para más detalles sobre este incidente, consulta la fuente original.
