Microsoft desmantela servicio que firmaba malware como software legítimo
Microsoft desmanteló una operación del actor Fox Tempest que abusaba del sistema de firma de artefactos de la compañía para hacer que malware pareciera software legítimo firmado digitalmente, comprometiendo miles de equipos.
Contexto
El actor Fox Tempest operaba un servicio de malware-como-servicio (MSaaS) que explotó el sistema de firma de artefactos de Microsoft para firmar digitalmente código malicioso. Al aparecer con una firma válida de Microsoft, el malware evadía soluciones de seguridad que confían en firmas digitales para validar software legítimo.
Microsoft identificó y desmanteló la operación, que había comprometido miles de equipos y redes a nivel global mediante esta técnica de evasión.
Impacto potencial
Cualquier empresa que confíe exclusivamente en la validación de firma digital como criterio de seguridad para ejecutar software es vulnerable a este tipo de ataque. La firma digital garantiza el origen del software, pero no protege si el sistema de firma fue abusado desde adentro de la infraestructura del proveedor.
Recomendaciones
- No tratar la firma digital como única capa de validación de software. Complementar con análisis de comportamiento y listas de aplicaciones permitidas.
- Mantener Windows Defender y soluciones de seguridad de endpoint actualizadas — Microsoft emitió actualizaciones para detectar el malware distribuido por esta operación.
- Revisar si algún equipo muestra comportamientos anómalos como procesos desconocidos, tráfico inusual o cambios en archivos del sistema.