Web Analytics
Conecta con nosotros

A Fondo

¿Son de fiar los antivirus?

Recientemente hemos visto como en un alarmante estudio la empresa Matousec se apuntaba que la mayoría de los antivirus que están en el mercado eran vulnerables a un ataque aparentemente muy crítico. El potencial ataque se produce aprovechando el KHOBE (Kernel Hook Bypassing Engine), una técnica que utilizan los antivirus para prevenir ataques, para ejecutar código malicioso. Al parecer antivirus como el Microsoft Security Essentials son inmunes. Vamos a analizar este tema en profundidad.

Publicado el

Recientemente hemos visto como en un alarmante estudio la empresa Matousec se apuntaba que la mayoría de los antivirus que están en el mercado eran vulnerables a un ataque aparentemente muy crítico. El potencial ataque se produce aprovechando el KHOBE (Kernel Hook Bypassing Engine), una técnica que utilizan los antivirus para prevenir ataques, para ejecutar  código malicioso. Al parecer antivirus como el Microsoft Security Essentials son inmunes. Vamos a analizar este tema en profundidad.

 

Una vez más hemos visto cómo se ponía en duda a los antivirus como herramienta eficaz de protección contra el malware e incluso se les acusa de abrir puertas para que podamos ser víctimas de código malicioso. Hace unos días la empresa Matousec publicaba un alarmante artículo sobre una supuesta nueva vulnerabilidad que afectaba a los principales antivirus del mercado y que permitía ejecutar código malicioso gracias a ellos.

 

 ¿Son de fiar los antivirus? 38

 

No es la primera vez que se ha descubierto que los antivirus pueden ser puerta de entrada para el malware. En 2008 ya nos hacíamos eco de un informa de vulnerabilidades de las principales aplicaciones antivirus del mercado. En el caso del reciente informe de Matousec, se señalaba a la técnica KHOBE (Kernel Hook Bypassing Engine) como responsable de esta posible y supuestamente nueva brecha de seguridad.

 

En MuyComputer hemos querido investigar y tras consultar con algunos expertos en seguridad podemos ofreceros algunas conclusiones importantes.

 

La brecha

 

El ataque consiste en aprovechar la modificación que hacen los antivirus (los Kernel Hooks) que permiten redirigir llamadas de sistema de Windows. Los antivirus analizan estas llamadas y se aseguran mediante patrones que no proceden de software malicioso. El antivirus modifica la tabla SST (System Service Descriptor Table) para hacer sustituir la dirección de memoria donde el sistema va a buscar una determinada API y así poder atajar esta llamada y comprobar que es legítima

 

 ¿Son de fiar los antivirus? 40

 

El problema es que utilizando un ataque de tipo «argument switch» un código malicioso puede sustituir esa dirección por otra una vez que el programa de antivirus ha dado esa llamada a la API como buena. Eso hace que el antivirus sea el que abra la puerta para que el código del virus pueda acceder al sistema sin que los mecanismos de control hagan saltar la alarma.

 

Quién está expuesto

 

En realidad todos los antivirus o aplicaciones de seguridad que utilicen la técnica del KHOBE están expuestos a este problema (hasta ahora una lista de 37 que sigue creciendo). El asunto es que, tal y como apuntan en Ars Technica, Microsoft ha desaconsejado en muchas ocasiones el uso de este tipo de técnicas, máxime cuando desde Windows Vista hay otros métodos más «civilizados» para obtener el mismo resultado.

 

 ¿Son de fiar los antivirus? 42

 

El problema es que implementar estos nuevos sistemas es costoso y supone modificar el código de soluciones antivirus que funcionaban en Windows XP. Uno de los antivirus que está totalmente a salvo de el ataque a través de KHOBE es el Microsoft Security Essentials, que (obviamente) sigue los consejos de su propia compañía e utiliza otros sistemas para comprobar la ejecución de código malicioso. Matousec ha confirmado oficialmente que MSE está a salvo.

 

En realidad no todos los Windows son vulnerables a este ataque. Gracias al Kernel Patch Protection las versiones de Vista y Windows 7 de 64 bits no están afectadas por este problema.

 

Entonces ¿no son seguros los antivirus?

 

En realidad gran parte de lo que ha buscado Matosec es notoriedad. El ataque a través de KHOBE, también conocido como TOCTOU (Time Of Check Time Of Use) no es para nada nuevo. Según se desprende del artículo publicado en el blog Security By Default, este fallo se conoce desde hace mucho tiempo, por lo menos desde 1996 que es el primer artículo que es posible encontrar documentando esta brecha de seguridad.

 

 ¿Son de fiar los antivirus? 44

 

Tal y como apuntan en el mencionado artículo de Security By Default, es mucho más peligroso (por ejemplo) utilizar Windows con la cuenta de administrador y desde luego hay muchas otras formas de atacar un sistema con Windows mucho menos costosas de implementar que utilizar el Kernel Hook de cierto software de seguridad. Eso ha hecho que las notas oficiales de algunos fabricantes de antivirus hayan restado importancia a la publicación de Matousec.

 

Es el caso de McAfee, que lo considera un ataque complejo de realizar y que no supone una amenaza real. En términos similares se pronunciaban desde Kaspersky labs, que además afirmaban que sus productos incorporan otros mecanismos de seguridad para restringir la actividad sospechosa del kernel. Otras empresas de seguridad como F-Secure o Trend Micro parecen haberse tomado más en serio el aviso.

 

Conclusiones

 

¿Son seguros nuestros antivirus? La respuesta es fácil, ni más ni menos que antes. Matousec no ha descubierto ninguna vulnerabilidad nueva y a bien seguro los desarrolladores de malware hace ya mucho tiempo que conocen las posibilidades de los llamados «Kernel Hook». Es decir, el software de seguridad sigue siendo recomendable y razonablemente seguro. Nuesto ordenador va a estar más seguro con antivirus que sin él, aunque éste sea vulnerable al mencionado ataque por lo que no estamos de acuerdo con las conclusiones del artículo de Matousec.

 

 ¿Son de fiar los antivirus? 46

 

Eso no quita el que sea recomendable que las empresas de antivirus sigan los consejos de Microsoft y comiencen a utilizar técnicas más avanzadas y buscar menos atajos para comprobar la ejecución de aplicaciones por parte del sistema. No sólo es posible, sino que se obtienen excelentes resultados, como ha demostrado MSE obteniendo siempre buenos resultados en las pruebas realizadas, tanto en prestaciones como en protección.

 

En cualquier caso el anuncio no supone ningún cambio radical en la fiabilidad de los productos de seguridad para Windows.

  

7 comentarios
  • Oscar

    34 antivirus!!! cuando se agoten las ideas para crear un virus, vendra Kernel Hook???
    O es que nos estan forzando a quitar xP??? (aunque vista y 7 de 32 bits no estén a salvo)

  • Ariel

    Exelente articulo!
    Sigan asi 😉

  • RAYDave

    El mejor antivirus es el que no se ejecuta sobre Windows… xD!

    Ningún Windows a la fecha se salva de tener virus y encima todos los antivirus no llegan a ser 100% infalibles.

    Yo uso GNU/Linux desde hace varios años y estoy contento de no haber perdido tiempo valioso en reinstalar el sistema por el simple hecho de que esta lento ó funcionan la mitad de los programas.

  • Pelayo

    Mi madre, de 62 años, es «adicta» a Word. No le gusta Openoffice Writer ni ninguna de las alternativas a MS Word que ha probado; es, por tanto, usuaria cautiva de Windows; y hay mucha gente así: simplemente son incapaces de adaptarse y aprender a trabajar con otro programa, auqnue haga lo mismo en un 99%.

    Pero pero para el resto de sus necesidades informáticas es totalmente libre de Microsoft: usa Kubuntu (le instalé yo un Debian pero no quería depender de mí para el mantenimiento y las actualizaciones y tal, así que acabé poniéndole Kubuntu); navega con Firefox, lee el correo con Kmail, chatea con unos familiares en Dinamarca con Kopete, organiza sus fotos en Digikam y está enamorada de Amarok y cada día se suscribe a podcasts de lo más variopinto, que se pasa al teléfono y eschucha en el bus de camino al curro.
    Aún así sigue cautiva de Microsoft, por lo que usa Word en Xp dentro de Virtualbox; suena enrevesado pero es tan fácil como abrir Virtualbox como cualquier otro programa y seleccionar windows, y en uno de sus dos escritorios (con más de dos se empezaba a liar) tiene su sesión de XP para su amado Word y el otro escritorio para sus usos habituales.

    ¿Para qué cuento todo este rollo? Pues para que los usuarios de Windows se convenzan de una vez de que HAY ALTERNATIVA; es posible usar un sistema operativo seguro, prácticamente a prueba de virus sin necesidad de programas adicionales, por su propia arquitectura y modo de funcionar, y realizar las tareas comunes que realiza el 99,9% de los usuarios de ordenadores; y si por el motivo que sea algún usuario necesita, a vida o muerte, un programa que sólo funciona en Windows, NO HAY PROBLEMA; salvo que se trate de programas que necesiten absolutamente todos los recursos de la máquina, cualquier ordenador de hace 5 o 6 años (el de mi madre es un protátil Fujitsu-Siemes Amilo 1655 de hace 5 años), con 1 GB o 2 de RAM, algo bastante de andar por casa, podrá ejecutar la inmensa mayoría de programas Windows sin merma de rendimiento apreciable.

    Animáos a probar lo que digo y dejad de lamentaros por virus, consumo de recursos excesivo (mi Debian con KDE4 y los programas habtuales: procesador de textos, programs de Internet, programas audiovisuales, etc, ocupa 3,2 GB en mi disco).

    Saludos.

  • Jortecus

    la la la la la la la la Linux 😀 (8)

  • Completamente de acuerdo con Pelayo y RAYDave, la mejor seguridad la proporciona un sistema GNU/Linux (…o BSD dado el caso). Yo ya no dependo de Windows para nada y solo lo uso ocasionalmente para ejecutar algún juego, para el resto me va divinamente con Mandriva 😀

  • chus

    que pesaos con el linux, y la maldita mania que tienen de hacer creer a los usuarios que existe un s.o libre de virus, cualquiera que conozca el lenguaje en el que se desnvuelve un s.o es capaz de crear un virus para el.
    http://www.zonavirus.com/noticias/2010/backdoor-en-miles-de-ordenadores-con-linux.asp

Lo más leído