Microsoft lanzó ayer un parche para reparar las vulnerabilidades aprovechadas por el malware Flame, un software espía altamente capaz descubierto hace dos semanas por Kaspersky. Se cree que Flame fue desarrollado por un gobierno – probablemente Estados Unidos – para espiar a personeros de otros países.

Ahora, Kaspersky descubrió que Flame es más inteligente de lo que se esperaba, y tiene tres módulos llamados Snack, Gadget y Munch, que “secuestran” a Windows Update para expandir el virus, realizando un interesante ataque tipo “man in the middle”.

“Cuando un usuario se actualiza a través de Windows Update, el requerimiento es interceptado y se le envía una actualización falsa. Esta actualización procede a descargar el cuerpo principal e infectar al computador”, dijo Alexander Gostev, jefe de investigación y análisis de Kaspersky Lab. Al intentar hacer una actualización, el virus redirige el requerimiento a un servidor falso, permitiendo descargar el virus completo como si fuera un update.

El módulo Snack hace que el tráfico que ocurra dentro de una red local pase primero por un computador infectado, para monitorear lo que se está haciendo. Allí, el componente Munch, que es un servidor web que recibe el tráfico redirigido, revisa una serie de datos en los requerimientos de los PCs que están tratando de hacer consultas, incluyendo si es que hay URLs que apunten a Windows Update, para redirigirlos a la descarga maliciosa.

“Secuestrar Windows Update no es trivial porque las actualizaciones deben estar firmadas por Microsoft. Sin embargo, Flame se salta esta restricción usando un certificado encadenado a la Microsoft Root Authority, y permite certificar falsamente el código”, explicó Symantec. El módulo Gadget es el encargado de certificar el código falso, haciéndolo parecer oficial, efectivamente engañando al sistema.

Recordemos que Flame completo pesa unos 20 MB, haciéndolo un malware muy pesado.

Microsoft afirmó que trabajará para fortalecer Windows Update, aunque no hay una solución rápida para este problema. Adicionalmente, en el parche de ayer se bloquearon tres certificados fraudulentos que estaban siendo utilizados por Flame para validar el código como si fuera original de Microsoft. Quienes ya están infectados probablemente no tendrán muchas opciones, pero para quienes no, vale la pena aplicar este parche.

Links:
- ‘Gadget’ in the middle: Flame malware spreading vector identified (Kaspersky Lab)
- W32.Flamer: Leveraging Microsoft Digital Certificates (Symantec)