INCIBE, El Instituto de Ciberseguridad de España, ha detectado una vulnerabilidad en Windows provocada por CertUtil, un programa incorporado por defecto en Windows que se utiliza para la gestión de certificados digitales, mediante la cual se puede descargar cualquier tipo de archivo desde una dirección web remota. Esta vulnerabilidad ha sido aprovechada por diferentes atacantes para instalar malware en los equipos de las víctimas.
Recursos afectados
Se ven afectados por esta vulnerabilidad todos los usuarios del sistema operativo Windows, ya que, se trata de una herramienta incluida por defecto en el sistema operativo.
Solución
Para evitar la descarga de contenido malicioso, es recomendable bloquear la conexión a internet de CertUtil desde el software de firewall que utilice en su equipo.
En el Firewall de Windows, se deben seguir los siguientes pasos:
1.- Abrimos el programa Firewall de Windows, buscando en el menú de inicio, o desde Panel de Control -> Sistema y seguridad -> Firewall de Windows (también puede aparecer como Firewall de Windows Defender)
2.- Seleccionamos en el menú de la izquierda la opción “Configuración avanzada”. En caso de no utilizar un usuario administrador, se solicitará la contraseña del administrador.
3.- En la siguiente ventana, hacemos clic derecho en “Reglas de salida” y seleccionamos la opción “Nueva regla…”.
4.- Se abrirá el asistente para crear una nueva regla. En la primera venta, seleccionamos la opción “Programa”. Pulsamos el botón de “Siguiente” para avanzar por las ventanas.
5.- Seleccionamos la opción “Esta ruta de acceso del programa:” y escribimos la siguiente dirección: C:\Windows\system32\certutil.exe.
6.- Seleccionamos la opción “Bloquear la conexión” y pulsamos “Siguiente”.
7.- Mantenemos seleccionadas las tres casillas (Dominio, Privado, Público) para que la conexión se bloquee en los tres tipos de conexiones de red.
8.- Para terminar, escribimos un nombre con el que identificar la regla y pulsamos el botón “Finalizar”.
Detalles
CertUtil es una herramienta incluida por defecto en Windows para la gestión de certificados, que permite realizar diversas operaciones. Una de las cuales es la descarga de certificados.
Sin embargo, varios investigadores de seguridad han descubierto que está herramienta puede aprovecharse para descargar otros tipos de archivos, lo que permite a un usuario malicioso elaborar ataques en los que se ejecute esta herramienta en los equipos de sus víctimas para descargar malware.
Al tratarse de una herramienta propia de Windows, los antivirus y otros programas de seguridad incluyen al mismo en la lista de programas seguros, por lo que no impedirán que este realice descargas. Así mismo, la herramienta puede descargar los archivos de forma codificada, aparentando ser archivos de texto, y descodificarlos después, permitiendo saltarse herramientas de seguridad de red.
