Vulnerabilidad que permite violar la seguridad de casi todos los antivirus

Investigadores dicen que han encontrado una manera de saltarse las protecciones incorporadas en docenas de los más populares anti-virus, tales como McAfee, Trend Micro, AVG, y BitDefender. El método fue descubierto por investigadores de seguridad de matousec.com. Funciona mediante el envío de una muestra de código “bueno” que pasa los controles de seguridad y luego, antes de que sea ejecutado, se cambian por un código “maligno”.
 Fuente

Traducción automática del artículo:

Los investigadores dicen que han ideado una manera de saltarse las protecciones incorporadas en docenas de los más populares productos anti-virus, incluyendo los ofrecidos por McAfee, Trend Micro, AVG, y BitDefender.

El método, desarrollado por investigadores de seguridad de software en matousec.com, funciona mediante la explotación de los sistemas que usan los programas anti-virus del sistema operativo Windows. En esencia, funciona mediante el envío de una muestra de código benigna que pasa los controles de seguridad y, a continuación, antes de que sea ejecutado, lo cambia con una carga maliciosa.

El hecho tiene que ser programado justamente de forma que el código benigno no se cambie ni demasiado pronto ni demasiado tarde. Sin embargo, para sistemas que se ejecutan en procesadores multi-núcleo, Matousec “el argumento-switch” ataque es bastante confiable, ya que un hilo es a menudo incapaz de hacer un seguimiento de otros hilos en ejecución al mismo tiempo. Como resultado, la gran mayoría de los que ofrecen protección contra malwares para PCs con Windows pueden ser infectados por un código malicioso que en condiciones normales sería bloqueado.

Todo lo que se necesita es que el software AV use tecnología SSDT o servicio del sistema de descriptores de la tabla, para modificar ciertas partes del kernel del sistema operativo.

“Hemos realizado pruebas con la mayor parte de los productos actuales de seguridad de Windows, escribieron los investigadores. “Los resultados pueden resumirse en una frase: Si un producto utiliza SSDT u otro tipo de modo de núcleo de nivel similar para implementar características de seguridad, es vulnerable. En otras palabras, el 100% de los productos analizados se encontraron vulnerables”.

Los investigadores dijeron que 34 productos probados eran susceptibles al ataque, pero la lista se limita a los probados por la cantidad de tiempo que tenían para la prueba. “De lo contrario, la lista sería interminable”, dijeron.

La técnica funciona incluso cuando Windows se está ejecutando bajo una cuenta con privilegios limitados.

Aún así, lo indicado tiene sus limitaciones. Se requiere una gran cantidad de código que se cargan en la máquina objetivo, por lo que es poco práctico para los ataques basados en código shell-o ataques que se basan en la velocidad y el sigilo. También puede llevarse a cabo sólo cuando un atacante tiene la capacidad de ejecutar código en el PC objetivo.

Sin embargo, la técnica podría combinarse con un exploit de otra pieza de software, por ejemplo, una versión vulnerable de Adobe Reader o Java de Oracle Virtual Machine para instalar malware sin despertar la sospecha del software de cualquier AV de la víctima estaba usando.

“Escenario realista: alguien utiliza McAfee o cualquier otro producto indicado, para proteger sus ordenadores”, dijo HD Moore, Arquitecto en Jefe del proyecto Metasploit.  “Un desarrollador abusa con este malware en la llamada al sistema de protección, permitiendo que el malware se instale y desactive el McAfee. En ese caso, toda la protección queda eliminada.”

Un usuario sin derechos de administración podría también utilizar el ataque para matar a un AV instalado y funcionando, a pesar de que sólo las cuentas de administrador deberían ser capaces de hacer esto, dijo Charlie Miller, analista principal de seguridad en Independent Security Evaluators.

Comentario:
Pues convendrá comprobarlo para, si es el caso, tenerlo en cuenta, y los fabricantes de antivirus ponerse las pilas…, y vencer el nuevo reto !

saludos

ms, 9-5-2010