Normalmente los antivirus suelen encargarse de analizar todos los archivos que descargamos en nuestro ordenador, así como todos los ficheros que se ejecutan antes de cargarse en la memoria para poder detectar cualquier tipo de amenaza oculta en un fichero aparentemente fiable. Sin embargo, para ahorrar recursos, estos sistemas de seguridad no suelen controlar la actividad de ciertas aplicaciones de confianza, por ejemplo, las herramientas incluidas por defecto en Windows, abriendo la puerta a que un fallo en ellas pueda poner en peligro todo nuestro sistema, como acaba de ocurrir con CertUtil.

CertUtil es una herramienta de Microsoft incluida por defecto en Windows que nos permite administrar nuestros certificados digitales, instalando nuevos en el ordenador, haciendo copia de seguridad de los existentes e incluso eliminando los que ya no queramos seguir utilizando. Además, esta herramienta nos permite descargar certificados desde un servidor de Internet para instalarlos en nuestro ordenador. Por desgracia, esta función no está correctamente limitada y un usuario puede engañar a la aplicación para descargar de Internet cualquier tipo de archivo.

No es la primera vez que piratas informáticos utilizan esta técnica. En 2016, algunos investigadores de seguridad empezaron a advertir sobre esta técnica. En 2017, además, aparecieron pruebas de concepto de cómo poder explotarla para poder descargar cualquier archivo, incluso malware, desde un servidor remoto utilizando la herramienta CertUtil de Windows.

A pesar de que esta técnica se conoce desde hace tiempo, Microsoft no ha actualizado la herramienta para impedir que pueda ser utilizada para descargar archivos que no sean certificados digitales. Además, al tratarse de una aplicación con la firma de Microsoft, la mayoría de los antivirus confían en ella, por lo que no sospechan de los ficheros que descargan y ejecutan.

Ya se han encontrado varios troyanos que se aprovechan del fallo de seguridad CertUtil

Aunque hasta ahora no se ha considerado un peligro masivo, recientemente se han visto ya varias pruebas de concepto que demuestran lo sencillo que es explotar este fallo de seguridad. Además, también se han encontrado varios troyanos recientemente como, por ejemplo, este analizado en VirusTotal hace una semana.

Aunque los antivirus detectan estas amenazas, como hemos explicado, al ser descargadas y ejecutadas desde CertUtil, al ser una aplicación de confianza y llevar la firma digital de Microsoft, se confía en ella y en todo lo que descarga y ejecuta, un error que nos puede salir muy caro.

Cómo podemos protegernos de este problema con CertUtil

Hasta que Microsoft decida solucionar este problema, del cual de momento no ha hecho declaraciones, lo único que podemos hacer es, si no hacemos uso de las funciones de red de esta herramienta para descargar certificados desde Internet, es bloquearla en nuestro firewall, impidiendo que se pueda conectar a Internet.

De esta manera, si alguna herramienta maliciosa intenta aprovecharse de esta herramienta para descargar y ejecutar malware no podrá hacerlo al estar bloqueada. No se recomienda eliminar a la fuerza esta herramienta, ya que eso puede causarnos otros problemas en la estabilidad del equipo.

¿Utilizas esta herramienta para gestionar tus certificados en Windows?