Un programa incorporado por defecto en Windows podría permitir la descarga de malware

Detectada una vulnerabilidad en Windows provocada por CertUtil, un programa incorporado por defecto en Windows que se utiliza para la gestión de certificados digitales.

0

Fuente: INCIBE

Detectada una vulnerabilidad en Windows provocada por CertUtil, un programa incorporado por defecto en Windows que se utiliza para la gestión de certificados digitales, mediante la cual se puede descargar cualquier tipo de archivo desde una dirección web remota. Esta vulnerabilidad ha sido aprovechada por diferentes atacantes para instalar malware en los equipos de las víctimas.

Recursos afectados

Se ven afectados por esta vulnerabilidad todos los usuarios del sistema operativo Windows, ya que, se trata de una herramienta incluida por defecto en el sistema operativo.

Solución

Para evitar la descarga de contenido malicioso, es recomendable bloquear la conexión a internet de CertUtil desde el software de firewall que utilice en su equipo.

En el Firewall de Windows, se deben seguir los siguientes pasos:

1.- Abrimos el programa Firewall de Windows, buscando en el menú de inicio, o desde Panel de Control -> Sistema y seguridad -> Firewall de Windows (también puede aparecer como Firewall de Windows Defender)

Imagen menú

2.- Seleccionamos en el menú de la izquierda la opción “Configuración avanzada”. En caso de no utilizar un usuario administrador, se solicitará la contraseña del administrador.

Imagen menú

3.- En la siguiente ventana, hacemos clic derecho en “Reglas de salida” y seleccionamos la opción “Nueva regla…”.

Imagen menú

4.- Se abrirá el asistente para crear una nueva regla. En la primera venta, seleccionamos la opción “Programa”. Pulsamos el botón de “Siguiente” para avanzar por las ventanas.

Imagen menú

5.- Seleccionamos la opción “Esta ruta de acceso del programa:” y escribimos la siguiente dirección: C:\Windows\system32\certutil.exe.

Imagen menú

6.- Seleccionamos la opción “Bloquear la conexión” y pulsamos “Siguiente”.

Imagen menú

7.- Mantenemos seleccionadas las tres casillas (Dominio, Privado, Público) para que la conexión se bloquee en los tres tipos de conexiones de red.

Imagen menú

8.- Para terminar, escribimos un nombre con el que identificar la regla y pulsamos el botón “Finalizar”.

Imagen menú

Detalles

CertUtil es una herramienta incluida por defecto en Windows para la gestión de certificados, que permite realizar diversas operaciones. Una de las cuales es la descarga de certificados.

Sin embargo, varios investigadores de seguridad han descubierto que está herramienta puede aprovecharse para descargar otros tipos de archivos, lo que permite a un usuario malicioso elaborar ataques en los que se ejecute esta herramienta en los equipos de sus víctimas para descargar malware.

Al tratarse de una herramienta propia de Windows, los antivirus y otros programas de seguridad incluyen al mismo en la lista de programas seguros, por lo que no impedirán que este realice descargas. Así mismo, la herramienta puede descargar los archivos de forma codificada, aparentando ser archivos de texto, y descodificarlos después, permitiendo saltarse herramientas de seguridad de red.