HP ha anunciado que revocará un certificado de autentificación que se utiliza para validar controladores e instaladores de algunos de sus productos porque ha descubierto que también se había empleado para firmar un programa malicioso.
La compañía se apresuró a explicar que el incidente no implicó una intrusión a su infraestructura para firmar códigos. “Cuando la gente se entere de esto, muchos asumirán que se comprometió nuestra infraestructura de autentificación, pero no es así”, afirmó Brett Wahlin, encargado de Seguridad Informática de HP. “Podemos demostrar que jamás se ha sufrido una intrusión de este tipo y que nuestra infraestructura para firmar códigos está 100% intacta”.
El problema surgió porque el equipo de uno de los desarrolladores de la compañía estaba infectado con el malware y se filtró en el código de sus productos. Como HP no se había percatado de la amenaza, firmó el software infectado.
“Los investigadores de HP creen que el troyano que infectó el ordenador del desarrollador cambió su nombre para imitar el de un archivo que la compañía suele usar en sus pruebas de software. De este modo, se incluyó por error en un paquete de software que después se firmó con el certificado digital de la compañía”, explicó el analista Bryan Krebs. “La compañía cree que el malware salió de la red interna de HP porque tiene un mecanismo para transferir una copia del archivo a su punto de origen”, agregó.
Aunque el software infectado nunca se distribuyó, la compañía siguió utilizando la misma firma digital para validar otros programas legítimos, por lo que deberá actualizar las firmas de los productos que la utilizan y revocar el certificado comprometido para dejar de validar al programa malicioso.
Fuentes:
HP accidentally signed malware, will revoke certificate Ars Technica
Signed Malware = Expensive “Oops” for HP Krebs on Security
HP revocará un certificado de autentificación que se utilizó para firmar malware