Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/06/2013
Roben un certificat a Opera i publiquen una actualització maliciosa per al seu navegador
Opera ha anunciat que el passat 19 de juny va patir un atac dirigit sobre la seua xarxa interna. Resultat: robatori d’un antic certificat emprat per a firmar codi. La companyia reconeix que ha sigut usat per a firmar programari maliciós i que inclús milers d’usuaris del navegador (durant un període d’un poc més de mitja hora) han pogut rebre una actualització maliciosa de forma automàtica.
No és la primera vegada que a una important companyia li roben un certificat digital emprat per a la firma del seu programari; podem recordar casos com els d’Adobe o la companyia antivirus Bit9. Al final el resultat és el mateix, uns atacants aconseguixen firmar programari maliciós amb un certificat legítim, la qual cosa pot facilitar-ne la instal·lació, passar desapercebut davant d’alguns antivirus o fer-se passar per programari legítim sense alçar sospites. Açò és el que ha ocorregut recentment en Opera.
Encara que l'avís d'Opera anuncia un impacte limitat, que l’atac va ser contingut i els seus sistemes revisats, reconeixen el robatori d’un antic certificat expirat usat per a la firma de codi. El portaveu d’Opera, Sigbjorn Vik, va indicar que el certificat s’ha usat per a la firma de programari maliciós.
"Açò hi pot permetre distribuir programari maliciós que aparega incorrectament com publicat per Opera Programari, o que parega ser el navegador Opera".
Actualment es reconeix l’existència de com a mínim una mostra de programari maliciós firmada amb este certificat i que actualment, segons VirusTotal, la detecten 23 de 47 antivirus. El que es pot considerar inclús més greu és que, segons l’alerta, diversos milers d’usuaris del navegador Opera en el sistema operatiu Microsoft Windows podrien haver sigut objecte d’una actualització maliciosa de manera automàtica. El responsable d’Opera estima que la finestra d’exposició hauria sigut des de les 01:00 a les 01:36 (entre les 3:00 i les 3:36 hora espanyola) horari UTC del dia 19 de juny.
Addicionalment, alerten que diversos milers d’usuaris del navegador Opera en el sistema operatiu Microsoft Windows podrien haver sigut objecte d’una actualització maliciosa de manera automàtica.
No s’aclarix en el comunicat si els atacants van arribar a usar la infraestructura d’Opera per a alliberar l’actualització maliciosa, ja que segons la finestra de temps podria coincidir amb l’atac. Una altra possibilitat seria que hagueren compromés els servidors de noms d’Opera, els quals es troben en la seua infraestructura, i hagueren usat un servidor maliciós.
Caldria destacar el fet que l’atac haja sigut detectat el dia 19, alhora que la finestra d’exposició. No obstant això, este tipus d’atac requerix una certa complexitat i no seria exagerat pensar que els atacants podrien haver estat més temps, potser dies, dins de la seua infraestructura.
Opera confirma que alliberarà una nova versió del navegador que inclourà un nou certificat, per la qual cosa recomanen encaridament que s’actualitze a la nova versió tan prompte com estiga disponible.