Uno de los parches incluidos en el martes de parches de agosto solucionó la vulnerabilidad CVE-2020-1464 , que permitía convertir archivos MSI en archivos ejecutables Java maliciosos mientras se mantenía una firma digital legítima. En esencia, el problema permitió a un atacante eludir los mecanismos de seguridad y descargar archivos firmados incorrectamente.

Esta semana expertos de Zengo y SafeBreach Labs recordaron que esta vulnerabilidad no es nueva, ya que el problema fue descubierto hace dos años. Además, inicialmente los representantes de Microsoft declararon que no arreglarían este error.

Resultó que en enero de 2019, el especialista de VirusTotal Bernardo Quintero habló públicamente sobre cómo en 2018 encontró un archivo ejecutable de Java malicioso con una firma digital legítima, que fue descargado y reconocido por el servicio VirusTotal Monitor.

Después de examinar el archivo encontrado, el experto llegó a la conclusión de que el malware es un archivo MSI con un Java JAR adjunto. Como puede ver en la captura de pantalla a continuación, aunque el archivo MSI se modificó y se le cambió el nombre a un archivo JAR, Windows aún creía que estaba firmado con un certificado válido de Google.

La vulnerabilidad en las propiedades del archivo
El certificado digital de Google

Luego de examinar el archivo, Quintero lo reportó de inmediato a los especialistas de Microsoft (esto sucedió el 18 de agosto de 2018), pero al investigador le dijeron que la empresa no tenía planes de arreglar la falla.

“Este vector de ataque se ha probado en las versiones más recientes y actualizadas de Windows 10 y Java disponibles en el momento de escribir este artículo (Windows 10 versión 1809 y Java SE Runtime Environment 8 Update 191). Microsoft ha decidido que no abordará este problema en las versiones actuales de Windows y ha dado permiso para compartir este caso y nuestros hallazgos en una publicación de blog ”, escribió Quintero en 2019.

Ahora después del lanzamiento del parche para CVE-2020-1464, Windows ya no considera los archivos MSI como firmados si se han modificado agregando un JAR. A continuación, puede ver cómo reaccionan Windows 10 1909 (izquierda) y el nuevo Windows 10 2004 (derecha) a dichos archivos a continuación.

Antes y despues de solución de la vulnerabilidad
Foto: Bleeping Computer

No se sabe por qué Microsoft tardó dos años en solucionar este problema y el nombre de Bernardo Quintero no se menciona en el informe de la empresa. Los representantes de Microsoft no comentan sobre la situación.