Recordemos que hoy en día, cuando compramos un ordenador, podemos comprobar como el propio fabricante añade algunas aplicaciones desarrolladas por él mismo entre todas las que vienen preinstaladas. Unas aplicaciones que reciben de vez en cuando actualizaciones y que según los investigadores ponen en riesgo la seguridad de los usuarios.
Entre las compañías analizadas por Duo Security encontramos HP, Dell, Acer, Lenovo y Asus y han llegado a la conclusión que todas ellas tienen serios problemas de seguridad, ya que permiten que un atacante pueda secuestrar el proceso de actualización de esas aplicaciones preinstaladas para hacer llegar código malicioso a los ordenadores de las víctimas y con el que pueden llegar a obtener el control completo del sistema.
Entre los fallos más comunes se ha detectado la entrega de actualizaciones a través de canales no seguros o la falta de la firma por parte de los fabricantes en los archivos de actualización para que puedan ser validados. Esto provoca que los ciberdelincuentes puedan realizar un ataque man-iin-the-middle con el que serían capaces de interceptar los archivos enviados de actualización y ser reemplazados por otros que contengan software malicioso.
En el caso de HP, los investigadores descubrieron que podían ejecutar cualquier comando a nivel de administrador, pudiendo permitir incluso que un atacante consiguiera crearse una cuenta de usuario en el sistema y así poder acceder al equipo cuando quisiera.
Por su parte, los actualizadores de Dell demostraron ser los más seguros a pesar de que la compañía no firma sus manifiestos, pero son enviados junto con los archivos de actualización a través de canales HTTPS que evitan los ataques simples man-in-the-middle. Los procesos de actualización de Dell también realizan validaciones para determinar si los archivos están firmados o no y que el certificado utilizado para su firma sea válido.
En el caso de otro reciente actualizador de Dell para Dell Foundation Services, la compañía habría descubierto estas vulnerabilidades por sí misma y ya ha aplicado los parches necesarios para solucionarlas.
Hewlett Packard demostró que también transmite las actualizaciones a través de HTTPS pero no firma sus manifiestos. Además, HP incluye un procedimiento para la verificación de la firma de archivos con el que no asegura que siempre se realice la verificación, de ahí que un atacante podría descargar un archivo malicioso sin ninguna sospecha y solicitar al usuario que lo ejecute.
Lenovo ofreció la cara y la cruz de la moneda en este sentido, ya que se le analizaron los dos actualizadores, Centro de soluciones y UpdateAgent, y cada uno de ellos ofreció dos resultados distintos. El primero de ellos demostró ser uno de los actualizadores más seguros analizados por los investigadores, pero todo lo contario mostró el segundo de ellos.
Acer demostró que intenta hacer las cosas bien, ya que realiza la firma de los archivos de actualización enviados, pero por el contrario no verifica las firmas. Por lo tanto, esto hace que la firma no valga para nada, que junto con la falta de firma de los manifiestos permite que un atacante pueda añadir archivos maliciosos sin firmar a los manifiestos.
A pesar de los malos resultados de Acer, Asus ha conseguido ser aún más inseguro en el envío de actualizaciones. Según los investigadores su actualizador deja mucho que desear en cuanto al nivel de seguridad que ofrece e incluso se atrevieron a llamarlo “remote code execution as a service”, es decir, un servicio integrado para que los hackers anden a sus anchas y consigan ejecutar código de forma remota.
Y es que Asus transmite sus manifiestos firmados a través de HTTP en lugar de HTTPS y a pesar de que el archivo de manifiesto ha sido cifrado, se realiza con un algoritmo fácil de romperse. Concretamente, la clave para desbloquear el archivo resultó ser un hash MD5 de las palabras “Asus Live Update”.
Los investigadores encontraron 12 vulnerabilidades en estos cinco fabricantes y todos ellos tenían al menos una de ellas de alto riesgo en su actualizador que permite la ejecución de código remoto. Sin embargo, estos cinco proveedores que han sido examinados son solo una muestra y lamentablemente, es poco probable que si analizan a otras marcas éstas ofrezcan un nivel mayor de seguridad.
