SmartScreen con WannaCry

Estaba navegando por El Lado del Mal, como otro día cualquiera, tratándome de poner al tanto con todo el revuelo del Wannacry. Leyendo el artículo de cómo recuperar ficheros afectados por este ransomware, me lleva al blog de Elevenpaths, donde más o menos pone lo mismo, pero explicando más en detalle cómo emplear una utilidad desarrollada por ellos. Al final del artículo, hay un enlace al repositorio GitHub donde han publicado el código Powershell de dicha herramienta.

Cuál fue mi sorpresa, que al pinchar en el enlace para ir al repositorio en cuestión, me encuentro con la siguiente pantalla:

El filtro SmartScreen de MS Edge. Según la sección de preguntas frecuentes:

"SmartScreen de Windows Defender es una característica de Windows, Internet Explorer y Microsoft Edge. Está diseñado para ayudar a protegerte de los sitios web que Microsoft considera fraudulentos y que intentan robar tu información personal. En Internet Explorer 8 y versiones posteriores, SmartScreen también te protege de descargar software malintencionado.

Microsoft Edge: SmartScreen de Windows Defender puede comprobar sitios (URL) con una lista dinámica, una lista en línea de suplantaciones de identidad (phishing) notificadas, malware, vulnerabilidad y sitios de estafa. Información acerca de los archivos descargados, como un hash del archivo y la firma del archivo digital, se puede cotejar con un servicio en línea para determinar la reputación del programa descargado."

Mirando un poco por la web, parece ser que ahora le han "añadido vitaminas", de forma que pueda prevenir de forma activa "drive-by-attacks", esto es, exploits que se aprovechan de vulnerabilidades de software conocido y legítimo alojado en webs oficiales. Un ejemplo podría ser Adobe Flash Player. Lo que me llama la atención, es el mecanismo que emplea: el servicio SmartScreen tira de un pequeño fichero de caché que el navegador va actualizando para determinar si una página es maliciosa o no, antes de parsear y renderizar su contenido.

Aparte de esto, parece que los otros dos métodos que tiene, y que puede que tengan relación con este caso, es: bloquear el contenido por determinar que se está tratando de distribuir o descargar malware, y por reputación de URL. Buscando algunos servicios para ver si una URL es maliciosa, me decanto por VirusTotal, que al final no indica nada fuera de lo normal. Al final, me inclino a pensar más que es una sospecha de intento de distribución de malware, al ser GitHub una plataforma para repositorios de software, o algo así, porque la URL de Elevenpaths también tiene la palabra "WannaCry", y sin embargo, no me la ha bloqueado.

Al final, decido avisar a Microsoft de que se trata de un falso positivo ;)

A día de hoy (fecha de publicación del artículo) sigue pasando lo mismo. En cambio, con Firefox, por ejemplo, navegas sin problemas.

Salu2!!