¿Son de fiar los antivirus?

¿Son de fiar los antivirus?

Recientemente hemos visto como en un alarmante estudio la empresa Matousec se apuntaba que la mayoría de los antivirus que están en el mercado eran vulnerables a un ataque aparentemente muy crítico. El potencial ataque se produce aprovechando el KHOBE (Kernel Hook Bypassing Engine), una técnica que utilizan los antivirus para prevenir ataques, para ejecutar  código malicioso. Al parecer antivirus como el Microsoft Security Essentials son inmunes. Vamos a analizar este tema en profundidad.

 

Una vez más hemos visto cómo se ponía en duda a los antivirus como herramienta eficaz de protección contra el malware e incluso se les acusa de abrir puertas para que podamos ser víctimas de código malicioso. Hace unos días la empresa Matousec publicaba un alarmante artículo sobre una supuesta nueva vulnerabilidad que afectaba a los principales antivirus del mercado y que permitía ejecutar código malicioso gracias a ellos.

 

 

 

No es la primera vez que se ha descubierto que los antivirus pueden ser puerta de entrada para el malware. En 2008 ya nos hacíamos eco de un informa de vulnerabilidades de las principales aplicaciones antivirus del mercado. En el caso del reciente informe de Matousec, se señalaba a la técnica KHOBE (Kernel Hook Bypassing Engine) como responsable de esta posible y supuestamente nueva brecha de seguridad.

 

En MuyComputer hemos querido investigar y tras consultar con algunos expertos en seguridad podemos ofreceros algunas conclusiones importantes.

 

La brecha

 

El ataque consiste en aprovechar la modificación que hacen los antivirus (los Kernel Hooks) que permiten redirigir llamadas de sistema de Windows. Los antivirus analizan estas llamadas y se aseguran mediante patrones que no proceden de software malicioso. El antivirus modifica la tabla SST (System Service Descriptor Table) para hacer sustituir la dirección de memoria donde el sistema va a buscar una determinada API y así poder atajar esta llamada y comprobar que es legítima

 

 

 

El problema es que utilizando un ataque de tipo “argument switch” un código malicioso puede sustituir esa dirección por otra una vez que el programa de antivirus ha dado esa llamada a la API como buena. Eso hace que el antivirus sea el que abra la puerta para que el código del virus pueda acceder al sistema sin que los mecanismos de control hagan saltar la alarma.

 

Quién está expuesto

 

En realidad todos los antivirus o aplicaciones de seguridad que utilicen la técnica del KHOBE están expuestos a este problema (hasta ahora una lista de 37 que sigue creciendo). El asunto es que, tal y como apuntan en Ars Technica, Microsoft ha desaconsejado en muchas ocasiones el uso de este tipo de técnicas, máxime cuando desde Windows Vista hay otros métodos más “civilizados” para obtener el mismo resultado.

 

 

 

El problema es que implementar estos nuevos sistemas es costoso y supone modificar el código de soluciones antivirus que funcionaban en Windows XP. Uno de los antivirus que está totalmente a salvo de el ataque a través de KHOBE es el Microsoft Security Essentials, que (obviamente) sigue los consejos de su propia compañía e utiliza otros sistemas para comprobar la ejecución de código malicioso. Matousec ha confirmado oficialmente que MSE está a salvo.

 

En realidad no todos los Windows son vulnerables a este ataque. Gracias al Kernel Patch Protection las versiones de Vista y Windows 7 de 64 bits no están afectadas por este problema.

 

Entonces ¿no son seguros los antivirus?

 

En realidad gran parte de lo que ha buscado Matosec es notoriedad. El ataque a través de KHOBE, también conocido como TOCTOU (Time Of Check Time Of Use) no es para nada nuevo. Según se desprende del artículo publicado en el blog Security By Default, este fallo se conoce desde hace mucho tiempo, por lo menos desde 1996 que es el primer artículo que es posible encontrar documentando esta brecha de seguridad.

 

 

 

Tal y como apuntan en el mencionado artículo de Security By Default, es mucho más peligroso (por ejemplo) utilizar Windows con la cuenta de administrador y desde luego hay muchas otras formas de atacar un sistema con Windows mucho menos costosas de implementar que utilizar el Kernel Hook de cierto software de seguridad. Eso ha hecho que las notas oficiales de algunos fabricantes de antivirus hayan restado importancia a la publicación de Matousec.

 

Es el caso de McAfee, que lo considera un ataque complejo de realizar y que no supone una amenaza real. En términos similares se pronunciaban desde Kaspersky labs, que además afirmaban que sus productos incorporan otros mecanismos de seguridad para restringir la actividad sospechosa del kernel. Otras empresas de seguridad como F-Secure o Trend Micro parecen haberse tomado más en serio el aviso.

 

Conclusiones

 

¿Son seguros nuestros antivirus? La respuesta es fácil, ni más ni menos que antes. Matousec no ha descubierto ninguna vulnerabilidad nueva y a bien seguro los desarrolladores de malware hace ya mucho tiempo que conocen las posibilidades de los llamados “Kernel Hook”. Es decir, el software de seguridad sigue siendo recomendable y razonablemente seguro. Nuesto ordenador va a estar más seguro con antivirus que sin él, aunque éste sea vulnerable al mencionado ataque por lo que no estamos de acuerdo con las conclusiones del artículo de Matousec.

 

 

 

Eso no quita el que sea recomendable que las empresas de antivirus sigan los consejos de Microsoft y comiencen a utilizar técnicas más avanzadas y buscar menos atajos para comprobar la ejecución de aplicaciones por parte del sistema. No sólo es posible, sino que se obtienen excelentes resultados, como ha demostrado MSE obteniendo siempre buenos resultados en las pruebas realizadas, tanto en prestaciones como en protección.

 

En cualquier caso el anuncio no supone ningún cambio radical en la fiabilidad de los productos de seguridad para Windows.

  

  • Share This