¿Eres un usuario de Windows? ¿Está seguro que su antivirus se actualiza regularmente? ¿Se siente seguro?
No debería! Lea a continuación el porqué...
Investigadores en seguridad del sitio Matousec.com tienen un ingenioso ataque que puede esquivar cada producto probado para la seguridad de Windows y permite que código malicioso encuentre vía libre hacia el sistema.
No debería! Lea a continuación el porqué...
Investigadores en seguridad del sitio Matousec.com tienen un ingenioso ataque que puede esquivar cada producto probado para la seguridad de Windows y permite que código malicioso encuentre vía libre hacia el sistema.
Si, lo que leemos es cierto: Todos los productos probados de seguridad en Windows. La lista de los productos es inmensa:
* 3D EQSecure Professional Edition 4.2
* avast! Internet Security 5.0.462
* AVG Internet Security 9.0.791
* Avira Premium Security Suite 10.0.0.536
* BitDefender Total Security 2010 13.0.20.347
* Blink Professional 4.6.1
* CA Internet Security Suite Plus 2010 6.0.0.272
* Comodo Internet Security Free 4.0.138377.779
* DefenseWall Personal Firewall 3.00
* Dr.Web Security Space Pro 6.0.0.03100
* ESET Smart Security 4.2.35.3
* F-Secure Internet Security 2010 10.00 build 246
* G DATA TotalCare 2010
* Kaspersky Internet Security 2010 9.0.0.736
* KingSoft Personal Firewall 9 Plus 2009.05.07.70
* Malware Defender 2.6.0
* McAfee Total Protection 2010 10.0.580
* Norman Security Suite PRO 8.0
* Norton Internet Security 2010 17.5.0.127
* Online Armor Premium 4.0.0.35
* Online Solutions Security Suite 1.5.14905.0
* Outpost Security Suite Pro 6.7.3.3063.452.0726
* Outpost Security Suite Pro 7.0.3330.505.1221 BETA VERSION
* Panda Internet Security 2010 15.01.00
* PC Tools Firewall Plus 6.0.0.88
* PrivateFirewall 7.0.20.37
* Security Shield 2010 13.0.16.313
* Sophos Endpoint Security and Control 9.0.5
* ThreatFire 4.7.0.17
* Trend Micro Internet Security Pro 2010 17.50.1647.0000
* Vba32 Personal 3.12.12.4
* VIPRE Antivirus Premium 4.0.3272
* VirusBuster Internet Security Suite 3.2
* Webroot Internet Security Essentials 6.1.0.145
* ZoneAlarm Extreme Security 9.1.507.000
* Probablemente otras versiones de todos el software mencionados.
* Posiblemente muchos más software que se adhieren al Kernel para poner en práctica rásgos de seguridad.
El ataque tiene un ingenioso movimiento estilo "cebo e interuptor" (bait-and-switch). Un código inofensivo pasa al software de seguridad para el escaneo, pero en cuanto se le dé luz verde, éste cambia a código malicioso. El ataque funciona más confiablemente en sistemas Multi-Core por que un hilo en ejecución no vigila a otros hilos que están corriendo simultáneamente, haciendo el cambio de código más fácil.
El ataque, llamado KHOBE (Kernel HOok Bypassing Engine - o Motor que evita la adherencia al Kernel) engancha un modulo de Windows llamado System Service Descriptor Table (Servicio del Sistema Descriptor de Tablas) o el SSDT, el cual se engancha o adhiere al Kernel de Windows. Desafortunadamente, SSDT es utilizado por el software antivirus.
NOTA: Lo que se ha hablado del SSDT se conoce desde mucho tiempo
pero aún no había sido explotado por los atacantes. Sin embargo,
como en los sistemas multi-núcleo son mas confiables y éstos sistemas
se éstan volviendo en estándares, esto es un tema demasiado delicado.
Cuidado!!! No piense que solo por que está como un usuario estándar o invitado
esta a salvo. No lo estas!
Este ataque no requiere de derechos de administrador.
Sin embargo, requiere de mucho código para trabajar, asi que es muy lejos del ideal de los atacantes.
Algunas casas de antivirus como F-Secure y Sophos han manifestado que la gente de Matouse.com describen una forma de "hacer algo extra" si el código malicioso logra pasar el software antivirus.
F-secure está convencido que, el tema es serio, sin embargo, la mayoría del código malware es detectado y bloqueado. No se está haciendo un gran esfuerzo por que es algo que aún no está sobre la escala de Richter
Usuarios de Linux y Mac, sientasen libres de entrar en "modo de satisfacción" solo por un ratito...
Fuente: ZDNET.com
Enlace: http://www.zdnet.com/blog/hardware/update-new-attack-bypasses-every-windows-security-product/8268
Traducido