Hace algún tiempo hablamos de una serie de fallos de seguridad que empezaron a aparecer en los ordenadores fabricados por diferentes compañías que podían permitir a usuarios no autorizados tomar el control, incluso de forma remota, del sistema. Estos fallos eran causados por las aplicaciones de terceros que instaban estos fabricantes que, en muchas ocasiones, instalaban certificados de raíz para controlar los sistemas, certificados que, por lo general, eran inseguros y podían ser explotados con facilidad.
Uno de los fallos que más ha dado de qué hablar ha sido el de Superfish, un certificado de raíz incorrecto que se instalaba junto al bloatware de Lenovo en sus portátiles y que permitía a usuarios no autorizados conectarse de forma remota a los equipos. Sin embargo, aunque no tengamos un equipo de Lenovo es muy probable que tanto nuestro fabricante como diferentes aplicaciones (o malware) hayan instalado sus propios certificados en el sistema, por lo que debemos revisarlos a menudo y, en caso de detectar algún certificado peligroso, eliminarlo (siempre que sepamos con certeza que es un certificado falso, peligroso y que no pertenece al sistema operativo o a alguna aplicación crítica como el antivirus).
Lo primero que debemos hacer es descargarnos la herramienta Sigcheck desde su página web principal.
Sigcheck es una herramienta enfocada a utilizarse desde símbolo de sistema, por lo que una vez descargada la descomprimimos en una ruta de fácil acceso (por ejemplo, en C:\ o en el escritorio de Windows) y desde una ventana de MS-DOS nos ubicamos en dicha ruta utilizando el comando CD.
Una vez allí ejecutaremos el siguiente comando:
- sigcheck -tv
El programa empezará a comprobar todos los certificados que tenemos instalados en nuestro ordenador y, si detecta alguno de ellos, nos lo marcará. Por el contrario, si todos los certificados son fiables nos indicará que no se ha detectado ningún certificado incorrecto en Windows.
Qué hacer si detectamos certificados peligrosos instalados en Windows
Si detectamos algún certificado inseguro lo que debemos hacer es eliminarlo del equipo. Para ello, desde Cortana, escribiremos “certificados” y abriremos la herramienta de “Administrar certificados de equipo“.
Aquí, dentro de “Entidades de certificación de confianza > Certificados” buscaremos los que nos ha mostrado la aplicación anterior y los eliminaremos de nuestro equipo.
Actualmente Microsoft se encuentra estudiando diferentes formas de proteger a los usuarios de este tipo de software que puede ser utilizado para realizar ataques MITM e incluso, como hemos dicho, para tomar el control del equipo de forma remota. Dentro de poco el sistema operativo será capaz por sí mismo de detectar estos certificados (gracias a Windows Defender) y advertir al usuario sobre su existencia, así como permitirle la eliminación automática de los mismos.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
