Como prometí en su día he estado consultando con algunos expertos tras la sugerencia de nuestro lector carlos sobre la polémica que ha surgido últimamente al respecto de las supuestas brechas de seguridad de los antivirus. Por si no lo sabéis, la empresa Matousec publicó un informe que poco menos que tachaba a los antivirus de coladeros para el malware. Como comenté en su momento prefería documentarme a conciencia porque me olía a chamusquina. Y es que el informe de Matousec, aunque más o menos riguroso en lo que respecta a los aspectos técnicos, estaba lleno de afirmaciones alarmistas. Lo siento pero un artículo que se titula “terremoto de grado 8 en el software de seguridad de Windows” me hace pensar mal.

Y como casi siempre que pienso mal… creo que he acertado. Vayamos por partes. 

 

La brecha

El ataque consiste (que me perdonen los expertos si simplifico demasiado) en aprovechar la modificación que hacen los antivirus (los Kernel Hooks) que permiten redirigir llamadas de sistema de Windows. Los antivirus analizan estas llamadas y se aseguran mediante patrones que no proceden de software malicioso. El antivirus modifica la tabla SST (System Service Descriptor Table) para hacer sustituir la dirección de memoria donde el sistema va a buscar una determinada API y así poder atajar esta llamada y comprobar que es legítima.  

 

El problema es que utilizando un ataque de tipo “argument switch” un código malicioso puede sustituir esa dirección por otra una vez que el programa de antivirus ha dado esa llamada a la API como buena. Eso hace que el antivirus sea el que abra la puerta para que el código del virus pueda acceder al sistema sin que los mecanismos de control hagan saltar la alarma. 

Quién está expuesto 

En realidad todos los antivirus o aplicaciones de seguridad que utilicen la técnica del KHOBE están expuestos a este problema (hasta ahora una lista de 37 que sigue creciendo). El asunto es que, tal y como apuntan en Ars Technica, Microsoft ha desaconsejado en muchas ocasiones el uso de este tipo de técnicas, máxime cuando desde Windows Vista hay otros métodos más “civilizados” para obtener el mismo resultado. 

 

El problema es que implementar estos nuevos sistemas es costoso y supone modificar el código de soluciones antivirus que funcionaban en Windows XP. Uno de los antivirus que está totalmente a salvo de el ataque a través de KHOBE es el Microsoft Security Essentials, que (obviamente) sigue los consejos de su propia compañía e utiliza otros sistemas para comprobar la ejecución de código malicioso. Matousec ha confirmado oficialmente que MSE está a salvo. 

En realidad no todos los Windows son vulnerables a este ataque. Gracias al Kernel Patch Protection las versiones de Vista y Windows 7 de 64 bits no están afectadas por este problema. 

Entonces ¿no son seguros los antivirus? 

En realidad gran parte de lo que ha buscado Matosec es notoriedad. El ataque a través de KHOBE, también conocido como TOCTOU (Time Of Check Time Of Use) no es para nada nuevo. Según se desprende del artículo publicado en el blog Security By Default, este fallo se conoce desde hace mucho tiempo, por lo menos desde 1996 que es el primer artículo que es posible encontrar documentando esta brecha de seguridad. 

 

Tal y como apuntan en el mencionado artículo de Security By Default, es mucho más peligroso (por ejemplo) utilizar Windows con la cuenta de administrador y desde luego hay muchas otras formas de atacar un sistema con Windows mucho menos costosas de implementar que utilizar el Kernel Hook de cierto software de seguridad. Eso ha hecho que las notas oficiales de algunos fabricantes de antivirus hayan restado importancia a la publicación de Matousec. 

Es el caso de McAfee, que lo considera un ataque complejo de realizar y que no supone una amenaza real. En términos similares se pronunciaban desde Kaspersky labs, que además afirmaban que sus productos incorporan otros mecanismos de seguridad para restringir la actividad sospechosa del kernel. Otras empresas de seguridad como F-Secure o Trend Micro parecen haberse tomado más en serio el aviso. 

Conclusiones 

¿Son seguros nuestros antivirus? La respuesta es fácil, ni más ni menos que antes. Matousec no ha descubierto ninguna vulnerabilidad nueva y a bien seguro los desarrolladores de malware hace ya mucho tiempo que conocen las posibilidades de los llamados “Kernel Hook”. Es decir, el software de seguridad sigue siendo recomendable y razonablemente seguro. Nuesto ordenador va a estar más seguro con antivirus que sin él, aunque éste sea vulnerable al mencionado ataque por lo que no estamos de acuerdo con las conclusiones del artículo de Matousec. 

 

 Eso no quita el que sea recomendable que las empresas de antivirus sigan los consejos de Microsoft y comiencen a utilizar técnicas más avanzadas y buscar menos atajos para comprobar la ejecución de aplicaciones por parte del sistema. No sólo es posible, sino que se obtienen excelentes resultados, como ha demostrado MSE obteniendo siempre buenos resultados en las pruebas realizadas, tanto en prestaciones como en protección. 

En cualquier caso el anuncio no supone ningún cambio radical en la fiabilidad de los productos de seguridad para Windows.  Es decir, que seguimos como antes, pero a riesgo de parecer pesado, la primera barrera de seguridad SOMOS NOSOTROS. Confiar a ciegas en un antivirus nunca es bueno, hay que ser listos, hacer backups y puntos de restauración, crear una cuenta sin privilegios de administrador, actualizar el sistema y las aplicaciones más sensibles siempre que sea posible y tener un antivirus instalado. Con estas precauciones las probabilidades de que nos pase algo son realmente muy pequeñas.

Archivado en: Windows