Estoy probando un software que necesito instalar en mi computadora localmente. Parece que puedo modificar uno de los archivos .exe o .dll usando msfvenom para incluir una carga maliciosa, como un shell inverso. Desde allí, puedo obtener un shell de meterpreter con privilegios de usuario.
Mi pregunta es si el software popular (por ejemplo, Microsoft Office) implementa la verificación de integridad de todos los archivos antes de ejecutar (por ejemplo, word.exe). Si no, ¿por qué?
La realización de dicha verificación de integridad no es una medida de seguridad adecuada. Es posible que haya algo de oscuridad similar a DRM que dificulte eludir las licencias o alguna protección contra daños accidentales de archivos ejecutables, pero no una contramedida de seguridad similar a Keckerhof.
El problema es que, una vez que un atacante puede modificar el binario, también puede modificar o eliminar completamente la verificación de integridad. (Y si el atacante no puede modificar el binario, dicho ataque es inútil).
Incluso si un atacante no puede encontrar dónde está la verificación de integridad, puede, por ejemplo, crear un ejecutable que descomprima el ejecutable original y algunos ejecutables malintencionados y los ejecute a ambos. Bueno, esto podría hacer más obvio que hay algún malware en la máquina.
Pero es probable que los proveedores no utilicen soluciones complejas que son difíciles de encontrar, ya que es mucho trabajo y existe cierto riesgo de falsas alarmas, etc. Por otra parte, es probable que algunas soluciones estandarizadas sean fáciles de vencer - solo porque habría más motivación para hacer alguna herramienta universal.
Una solución adecuada para el problema de integridad son las firmas digitales que deben verificarse antes de que se inicie el binario. Esto es algo que se usa comúnmente.
Mi pregunta es si el software popular (por ejemplo, Microsoft Office) implementa la verificación de integridad de todos los archivos antes de ejecutar word.exe.
Algunos lo hacen, otros no.
Para estar seguro, debe preguntar al proveedor.
Si no, ¿por qué?
Probablemente, debido a que tal comprobación de integridad probablemente lleve mucho tiempo (algunos programas, por ejemplo, Microsoft Office son muy grandes) y tal demora provocaría un alto volumen de quejas.
Para estar seguro, debe preguntar al proveedor.
Lea otras preguntas en las etiquetas penetration-test virus software integrity